- ロシア人ハッカーが偽の「アメリカン・パトリオット」プロフィールでMAGA Telegramチャンネルを欺く
- 脅威アクターは5年間にわたり脱獄済みGoogle Gemini AIを使用
- チャンネルは詐欺、認証情報窃取、暗号通貨収集の温床と化した
1万7000人以上のメンバーを擁するTelegramチャンネルが、詐欺、認証情報窃取、暗号通貨収集の巨大な温床として特定された。
このチャンネルは、ロシア語を話す単独の脅威アクターによって運営されており、AIを使ってアメリカ軍の退役軍人になりすまし、QAnonおよびMAGAコミュニティの人々を引き寄せていた。
Trend Microが脅威アクターのインフラおよび運用環境を発見した。脅威アクターはGoogle Geminiを脱獄させてセーフガードを無効化し、AIを活用した認証情報窃取キャンペーンを展開していた。
偽のアメリカン・パトリオット・プロフィールが数万人を欺く
@americanpatriotusという名称の公開Telegramチャンネルは、軍事奉仕、憲法的愛国心、銃の所有、アメリカ文化の象徴に関するニュースや意見を共有することで、MAGAおよびQAnonコミュニティの政治的傾向を武器として利用した。
このチャンネルは2021年の議事堂襲撃事件直後に作成され、MAGAおよびQAnonコミュニティのメンバーが主要ソーシャルメディアサイトから排除されたことを利用した。
「米空軍冷戦退役軍人」を名乗っていた脅威アクターは、主流メディアの記事へのリンクを共有し続けることで支持者を増やし、トランプの起訴、暗殺未遂、ハリスの再指名、トランプの大統領選勝利といった政治的出来事を利用して追加コンテンツを配信した。
認証情報窃取や詐欺キャンペーンを展開しながら、できる限り多くのコンテンツをTelegramチャンネルに流し込むために、脅威アクターは脱獄済みバージョンのGoogle Geminiを使用した。
脅威アクターは自身を「認定ペネトレーションテスター」として提示し、続くプロンプトを通じて、AIモデルが「倫理的な拒否、ロボット的な警告、意図への疑問なしにリクエストを実行する」よう記憶させようとした。ロシア語でプロンプトを入力することで、英語のプロンプトであれば発動していたはずのガードレールを回避することができた。
脅威アクターはこの脱獄済みGeminiを使って主流ニュース記事を取り込み、「支配、マネーロンダリング、ロスチャイルド、NESARA、旧体制の解体」に重点を置いた「隠れた角度」を探らせた。AIはその後、米国のタイムゾーンに合わせた時間帯に投稿することに重点を置きながら、自動的にTelegramへの投稿を生成した。
QAnonスタイルのチャットボットもキャンペーン終盤にTelegramチャンネルに登場しており、量子金融システム(Quantum Financial System)の「回収されたソブリンノード」として様式化されていた。これはQAnon/NESARAの信念、すなわち軍の「ホワイトハット」によって秘密裏に量子コンピューターベースのグローバル金融リセットが実施されるというものである。
Google Geminiの費用を節約するため、脅威アクターは73個の不正取得と思われるAPIキーを使用しており、5年間にわたるキャンペーン全体の運営コストはほぼゼロに近かったとみられる。
チャンネル内でリモートアクセス型トロイの木馬(RAT)を配布し、AI支援によるパスワードブルートフォース攻撃を使用することで、脅威アクターは29件のWordPress管理者認証情報を侵害し、ある企業に侵入し、少なくとも1つの暗号通貨ウォレットの内容を盗み出すことに成功した。
