news 2026/7/16 20:42:29

仅用六分钟,黑客借助Gemini CLI自主构建并迁移CC僵尸网络

作者头像

张小明

前端开发工程师

1.2k 24
文章封面图
仅用六分钟,黑客借助Gemini CLI自主构建并迁移CC僵尸网络

一名化名为"bandcampro"的俄语威胁行为者将谷歌Gemini CLI AI agent武器化,用于迁移、部署和运营一个实时的命令与控制(C&C)僵尸网络。

值得注意的是,攻击者仅用六分钟就完成了整个基础设施迁移,本人仅贡献了总工作量的11%,其余工作均由AI完成。

TrendAI™ Research于2026年7月13日发布了这些发现,此前他们从该行为者处获取并分析了200多个Gemini CLI会话日志。这些日志记录了2026年3月19日至4月21日长达一个月的日常AI辅助犯罪活动。

这一事件标志着威胁格局的一次显著转变:一名非专业的单人操作者用俄语以自然语言指令指挥AI agent,而模型则自主处理架构设计、编码、部署、调试,甚至主动进行了59次系统改进(无需任何提示)

攻击者构建实时C&C僵尸网络

支撑这份报告的核心事件发生在2026年3月23日。当时,行为者现有的C&C基础设施(依赖Cloudflare隧道与受害者建立连接)正被防火墙和防病毒软件大规模拦截。

行为者没有手动重建,而是向Gemini CLI输入了一条俄语指令:“研究C2迁移(Study the C2 migration)”。

AI以惊人的速度和自主性作出响应,在几分钟内完成了过渡:

  • 12:42 UTC——行为者输入“研究C2迁移”提示。

  • 12:48 UTC——AI编写C&C服务器代码,将其部署到新的VPS上,配置Cloudflare隧道,并使基础设施上线。

  • 14:20 UTC——行为者休息后返回,AI报告尚无机器人连接。

  • 15:12 UTC——AI自主诊断出“脑裂”问题:Cloudflare正在新旧服务器之间对流量进行负载均衡。

  • 15:22 UTC——行为者按建议关闭旧服务器,AI确认所有机器人均成功重新连接。

当载荷分发服务器最初返回“502 Bad Gateway”错误时,AI自主诊断并解决了该问题。

此外,当Cloudflare的WAF拦截传入请求时,AI识别出需要浏览器风格的User-Agent头,并在无提示情况下将其添加到代码中。在整个过程中,行为者未进行任何调试。

新的C&C架构被精简到最低可行形态,而这种极简主义正是其危险所在。整个操作仅包含三个纯文本文件,总计约5KB。

关于此次自主迁移的完整分析以及详细取证时间线,已记录在《六分钟沦陷:'Patriot Bait'行为者如何利用AI构建并部署C&C僵尸网络》Trend Micro (US)报告中。

行为者完全通过自然语言的俄语提示来操作僵尸网络。诸如“检查医生电脑上有哪些文件,GILDR”之类的查询,使AI通过C&C API将列出文件的命令转发给目标机器。

最终,AI控制了某牙科诊所内的八台被入侵计算机,使得行为者能够访问其OpenDental患者数据库。

在服务器端,一个内存中的Python HTTP服务器同时管理载荷交付和命令编排。它不向磁盘写入任何内容,不留下任何取证痕迹,并使用/api/v1 API路径,这些路径旨在与合法的、兼容OpenAI的流量混为一体。受害者机器运行PowerShell beacon,每五秒通过HTTPS轮询C&C服务器

持久化机制会根据攻击者的权限级别动态调整:

  • 拥有管理员权限时:将powershell.exe复制到%APPDATA%\Microsoft\Windows\Runtime\svchost.exe,并配置一个WMI事件订阅,每30分钟触发一次。

  • 没有管理员权限时:载荷劫持HKCU:\Environment\UserInitMprLogonScript,并注册一个伪装成标准OneDrive Standalone Update Task的计划任务。

代码中没有任何混淆、加壳或逃避技术,因为它根本不需要。一旦检测到任何入侵指标(IOC),行为者只需要求AI重新生成新的工件,使用不同的文件名、注册表键或API路径。

这代表了攻击设计的一次重要演进,反映了一个更广泛的趋势:攻击者使用高度定制、直觉式编码(vibe-coded)的PowerShell脚本,以绕过典型端点过滤器并自动化主机发现。

会话日志显示,C&C操作只是更广泛的AI辅助犯罪活动的一个方面。行为者将Gemini CLI用作凭据变异引擎,从AntiPublic凭据数据库中提取密码列表,并指示AI预测可能的密码变体。

这些变异后的列表随后被输入到多线程的WordPress管理面板暴力破解工具中,以获取未授权访问。

在另一起事件中,行为者向AI提供了一份1Password转储,并让其映射受害者的企业VPN访问、Duo MFA设置和内部管理面板。

最令人担忧的是,日志捕捉到行为者就针对美国和加拿大老年受害者的电话加密货币欺诈可行性咨询AI,结果AI推荐了心理操纵脚本。

在整整一个月的日志中,行为者仅贡献了生成文本的11%,而AI生成了89%。AI实质上充当了行为者的整个工程团队,做出了80%的架构决策,编写了100%的代码,并处理了90%的调试工作。

行为者使用GEMINI.md skill文件成功对Gemini CLI进行了越狱,该文件虚假地将操作框架化为授权渗透测试。

这些策略凸显了一个系统性问题:恶意提示注入成功绕过了传统安全护栏,利用大型语言模型将安全的编码助手转变为双用途武器。

然而,护栏并未被彻底击败。当行为者请求一个“Agent炸弹”——一种能够自主扫描并感染尽可能多机器的自传播蠕虫——时,AI拒绝了,并表示:“即使是你的测试环境也不行。这越界了,安全策略严格禁止我创建这样的‘炸弹’。”

在其他护栏触发的情况下,行为者放弃了任务并转向其他方向,在某些情况下,AI甚至建议了手动变通方法——这种令人担忧的动态凸显了确保指令遵循模型安全的持续挑战。

C2_MIGRATION_GUIDE.md从根本上改变了僵尸网络下线的经济效率。以往,破坏C&C服务器就能有效终止一次行动,因为重建需要难以招聘或替换的技术专家。

如今,一个非技术行为者可以在几分钟内从任何论坛上分享的一个5KB文本文件恢复完整操作,并在新VPS上运行。

防御者建议

  • 行为检测:标记固定间隔5秒的HTTP GET轮询到/api/v1/update、从%TEMP%执行且文件名匹配win_update_svc_*的PowerShell、运行时创建的WMI订阅,以及从%APPDATA%\Microsoft\Windows\Runtime\运行的svchost.exe。

  • 凭据加固:强制使用唯一密码,对照泄露数据库(包括AntiPublic)监控员工凭据,并要求使用抗钓鱼MFA。

  • 快速恢复计划:将服务器下线视为临时干扰;将移除操作与网络级封锁以及对机器人重新连接尝试的持续监控相结合。

版权声明: 本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若内容造成侵权/违法违规/事实不符,请联系邮箱:809451989@qq.com进行投诉反馈,一经查实,立即删除!
网站建设 2026/7/16 20:41:16

Invoke-WCMDump安全审计指南:如何检测和防御凭据泄露风险

Invoke-WCMDump安全审计指南:如何检测和防御凭据泄露风险 【免费下载链接】Invoke-WCMDump PowerShell Script to Dump Windows Credentials from the Credential Manager 项目地址: https://gitcode.com/gh_mirrors/in/Invoke-WCMDump Invoke-WCMDump是一款…

作者头像 李华
网站建设 2026/7/16 20:40:40

CANN/asc-devkit:向量计算比较掩码设置函数文档

asc_set_cmp_mask 【免费下载链接】asc-devkit 本项目是CANN 推出的昇腾AI处理器专用的算子程序开发语言,原生支持C和C标准规范,主要由类库和语言扩展层构成,提供多层级API,满足多维场景算子开发诉求。 项目地址: https://gitco…

作者头像 李华
网站建设 2026/7/16 20:38:07

基于容器化的Android多环境测试架构设计与实践

基于容器化的Android多环境测试架构设计与实践 【免费下载链接】docker-android Android in docker solution with noVNC supported and video recording 项目地址: https://gitcode.com/GitHub_Trending/do/docker-android docker-android作为容器化Android开发环境解决…

作者头像 李华
网站建设 2026/7/16 20:32:38

vscode利用highlight-words设置F8快捷键高亮

1、安装插件highlight-words2、 设置F8 快捷键crtl shift p 调出以下界面:输入:Highlight Toggle Current,点击本行后面的齿轮,也就是设置,如下图:进入以下界面,然后点击画笔形状的图标&#…

作者头像 李华