Hacker Exploits Google Gemini CLI for Botnet Operations and C2 Migration

www.news4hackers.com-hacker-exploits-google-gemini-cli-for-botnet-operations-and-c2-migration-hacker-exploits-google-gemini-cli-for-botnet-operations-and-c2-migration

一项网络安全分析揭示了一组使用Google开源Gemini CLI工具作为黑客平台的俄罗斯语威胁组,用于执行网络操作。

调查发现

调查发现,该攻击者利用AI驱动的界面管理小型僵尸网络,重新配置命令与控制(C2)基础设施,并通过自然语言命令执行系统管理任务。该威胁行为者被指定为bandcampro,在2026年5月至6月期间进行了超过200次AI会话,其中Gemini CLI在59次场合提供了技术支持。

目标与攻击方式

研究显示,攻击者部署了针对牙科诊所的僵尸网络,旨在入侵OpenDental数据库。AI被指示模拟授权渗透测试环境,绕过标准安全警报。嵌入操作指南的自定义技能文件使工具能够处理C2架构、感染协议、持久化方法和日常任务执行。

C2迁移过程

当收到“研究C2迁移”命令时,系统分析了迁移文档并生成代码、服务器配置、VPS部署计划、Cloudflare隧道设置和初始调试程序。新基础设施的过渡在约六分钟内完成。当部分受感染系统首次无法重新连接时,AI检测到旧服务器和新服务器之间的流量冲突。在退役旧服务器后,所有设备成功重新连接到更新的C2框架。

僵尸网络管理

僵尸网络管理完全依赖自然语言提示。AI执行了检查设备状态、列出受感染机器上的文件以及创建新感染向量等任务。操作设置由三个总大小约5KB的纯文本文件组成,包括Gemini“越狱”提示、C2剧本和迁移指南。

恶意软件组件

恶意软件组件采用基本设计,使用内存中的Python HTTP服务器和PowerShell代理。持久化机制包括计划任务和WMI持久化技术。攻击者还利用AI生成潜在的WordPress账户密码组合,并分析1Password数据泄露以寻找可利用的凭证。

AI的限制

然而,该工具拒绝了开发自复制代理的请求,促使攻击者将努力转向其他活动。

网络安全专家指出,生成式AI工具正被越来越多地用于加速网络犯罪活动。分析强调了AI驱动自动化系统开发者需要实施增强的安全措施、持续监控和稳健的防护措施,以检测和缓解滥用行为。



About Author

en_USEnglish