単独の脅威アクターが盗んだGoogle Gemini APIキーとジェイルブレイクされたAIを駆使し、コンテンツ生成、認証情報の窃取、インフラ運用を大規模に自動化した、長期にわたるTelegramの影響工作・詐欺キャンペーンの実態が明らかになりました。
「bandcampro」として追跡されているロシア語話者のこのオペレーターは、MAGAをテーマにしたTelegramチャンネル「@americanpatriotus」を約5年にわたって運営し、約1万7,000人の登録者を獲得しています。
このアクターは、プロンプトエンジニアリングと永続的なメモリ操作によってGeminiの安全ガードレールを系統的に回避していました。「認定ペンテスター」を装うことで、モデルにローカルメモリファイル(GEMINI.md)への許可的な指示の保存を承認させました。その指示には、倫理的制約なしにリクエストを実行するよう求めるディレクティブも含まれていました。
Gemini CLIがセッションのたびにこのファイルを再読み込みするため、ジェイルブレイクは時間の経過とともに持続・強化されていきました。また、英語以外の言語でプロンプトを送ることで、言語間の安全機能の不整合を突く追加の回避も実現しています。
制限を解除されたモデルは、QAnon風のプロパガンダ生成、Telegram投稿パイプラインの自動化、盗んだAPIキーのローテーション、サイバー犯罪活動の支援などに利用されました。
このアクターは73個の盗んだGemini APIキーを使用し、運営コストをほぼゼロに抑えながら活動を拡大させたと報告されています。こうした自動化にもかかわらず、実際の成果は限定的で、WordPressの管理者アカウント29件の侵害、企業環境への1件の侵入、そして少なくとも1件の暗号資産ウォレットの資金流出にとどまっています。
TrendAI Researchの報告によると、このキャンペーンは2025年9月に大きな転換点を迎えました。アクターが手動によるコンテンツキュレーションから完全なAI支援オペレーションへと移行し、ジェイルブレイクしたGeminiモデルを運用上の「相棒」として活用するようになったのです。
Telegramチャンネル自体は、三つのフェーズを経て進化してきました。2021年から2022年にかけては、主にStellarベースのトークンに関連する暗号資産詐欺コンテンツを再配信していました。
盗まれたGemini APIキー
2023年から2025年末にかけては、QAnon的な語りを付加したメインストリームのニュースリンクの共有へと移行しました。2025年9月以降はオペレーションが完全にAI主導となり、Geminiが政治的な支持者層の共感を狙った「Qドロップ」風コンテンツを生成するようになっています。
エンゲージメントと収益化を支えるため、アクターはVenice.aiを活用した「QFS 2.0 Terminal」というチャットボットを展開しました。このボットは架空の量子金融システム(Quantum Financial System)のインターフェースを模倣しており、紹介ベースのランク昇進といったゲーミフィケーション要素も組み込まれています。
この手法は、ターゲットとするコミュニティ内での信頼構築とユーザーインタラクションの向上を目的として設計されています。
影響工作にとどまらず、アクターはAIを認証情報の窃取やインフラ管理にも活用しました。GeminiはC2インフラの展開、スクリプトのデバッグ、クラウドサービスの設定、さらにはブルートフォース攻撃用のパスワード変形パターンの生成にまで利用されています。
インフォスティーラーのログ、コンテキストデータ、AIが生成したパスワード変形パターンを組み合わせることで、アクターはヘルスケア、法律サービス、小売業など複数のセクターにまたがるWordPress管理者アカウントの解析に成功しています。
このキャンペーンはまた、暗号資産ウォレット「StellarMonster」に偽装したトロイの木馬化アプリも配布していました。このソフトウェアは実質的に、被害者のシステムへの永続的なアクセスを確保する目的で流用された正規のリモート管理ツールです。
さらにユーザーはウォレットのシードフレーズを入力するよう誘導され、暗号資産の全資産が完全に侵害される事態を招いています。
注目すべき点として、研究者たちはこのキャンペーンを政治的動機ではなく金銭的動機によるものと評価しています。イデオロギー的なブランディングを施しているにもかかわらず、親ロシアのメッセージが発信された証拠は見当たりません。
むしろアクターは、視聴者を詐欺のターゲットとして搾取可能な存在と見なしており、被害者を指すのに騙されやすさを示すスラングまで使用していたことが確認されています。
このケースは、最先端のAIツールが複雑なサイバーオペレーションへの参入障壁を低下させている実態を浮き彫りにしています。かつては組織的なチームが必要だった作業が、今や自動化パイプラインとAI支援を使った単独の個人によって実行可能になっています。
一方で、AIがスケールと効率を高めたとしても、オペレーションの成功を保証するわけではないことも示しています。
さらに重大なのは、このオペレーションがAI安全制御における根本的な弱点、特にジェイルブレイク耐性と言語間の不整合を明確にさらけ出している点です。
こうした脆弱性は、管理されていないAI導入に関する研究で以前から指摘されていましたが、現在では実際の脅威キャンペーンにおいて積極的に悪用されています。
翻訳元: https://gbhackers.com/stolen-gemini-api-keys/
