AI as Aサービス型ボットネットが侵害されたWindowsおよびLinuxホスト間で悪意あるワークロードを分散

「Mycelium Framework」と呼ばれるこの闇市場向け広告は、機能満載のボットネット販売文句がずらりと並ぶ、よくある宣伝文句のように読めます。クロスプラットフォーム対応のペイロード、暗号化されたC2、持続化機能、エクスプロイトモジュール、認証情報窃取、そして横展開といった機能を謳っているのです。

これらの構成要素自体は目新しいものではありません。Myceliumが注目される理由は、侵害されたエンドポイントを使い捨てのボットとしてではなく、「能力を把握した」存在として扱うという、その謳い文句にあります。

つまり、CPUやGPU、ローカルAIモデル、窃取したAPIキー、ブラウザセッション、企業の認証情報といった条件に基づき、推論処理、パスワードクラッキング、偵察、エクスプロイト開発、ソーシャルエンジニアリングといったワークロードを、各ノードへ動的に振り分けるAIコンピュートプラットフォームというわけです。

この投稿は、MyceliumをAI as a Service(AIaaS)型ボットネットとして位置づけています。アーキテクチャ面では、Windows・Linux両方に対応したネイティブパスを備える本番グレードのC++コアを核とし、AI、ブラウザフォレンジック、エクスプロイト、グリッドコンピューティング、カーネル/ルートキットコンポーネントといったプラグイン形式のモジュール群を有すると謳っています。

IRCベースの暗号化されたコマンド&コントロールチャンネルが、ノードの統制、モジュール展開、AIタスクの割り当て、ワームの制御、スキャン、クラッキング、データ窃取を行うオペレーター向けインターフェースとして機能します。

投稿者はソースコードや動作証明を一切提示していませんが、遠隔からの侵入、持続化、ブラウザ認証情報の窃取、防御回避、SSH/SMBを使った横展開、分散タスクスケジューリングといった個々の機能は、いずれも過去のマルウェアキャンペーンで前例があるものです。そのため、これらを組み合わせたコンセプト自体は技術的に十分あり得るものといえます。

ここでの新機軸は、能力を把握した上でのタスク振り分けです。Myceliumの「Mind Collective」およびNetGridと呼ばれるサブシステムは、スケジューラ兼ジョブマネージャーとして説明されています。各ノードは利用可能なリソース(GPUの有無、Llama/OllamaのようなローカルLLM、窃取したGPT系APIキー、稼働中のブラウザセッションなど)についてプロファイリングされ、その等級に応じて作業が割り当てられます。

Flareの研究者らによると、Myceliumフレームワークは、DDoS攻撃やスパム、ランサムウェア配布、認証情報窃取のための単なるツールとしてではなく、ボットネットを明示的にAI as a Serviceプラットフォームとして位置づけた、これまでに観測された中で初めての闇市場サービスだといいます。

AI as aサービス型ボットネット

有効なAPIキーを持つ高価値なノードや、高い処理能力を持つローカルモデルを備えたノードには、プレミアムなタスク(経営幹部を狙った攻撃や高精度なコンテンツ生成など)が割り当てられるとみられます。

Windows側の設計ではWinAPIやCOMインターフェースが参照されており、Linux側の設計ではPOSIXやシステムコール志向の設計が参照されています。

能力の低いホストは、分散型のHashGridを介した前処理、偵察活動、あるいはパスワードクラッキングを担うことになります。これは、リソース管理、フェイルオーバー、リトライ、動的モジュール読み込みといった正規の分散コンピューティングシステムの仕組みを、悪意ある目的のために転用したものといえます。

Image

この広告が挙げるAIの活用事例は、リスクの深刻化を浮き彫りにしています。窃取したメールやチャット履歴、現地の文脈情報を活用してパーソナライズされたメッセージを作成し、それを侵害済みのSlack、Discord、Telegramのセッションを通じて送りつけるソーシャルエンジニアリング・エンジンは、フィッシング攻撃の規模と実効性を高めるものです。

CVE情報源をスクレイピングし、LLMを使ってエクスプロイトコードを生成、それを検証した上でコンパイル済みのモジュールとしてグリッドに再配布するという、自律型エクスプロイトパイプラインの主張は、脆弱性の兵器化を加速させかねない、自動化された攻撃ライフサイクルの輪郭を示すものです。

この投稿では「ニューラル伝播」についても言及されています。これは、汚染したプロンプトをコードや文書に埋め込み、下流にあるAIアシスタントに影響を及ぼすという、モデル操作の新たな手口です。

防御側の視点から見ると、それが実在するものであれ構想段階のものであれ、Myceliumは侵害されたインフラの価値の捉え方を再定義するものです。攻撃者は一度きりの金銭化にとどまらず、コンピューティング資源やAPIアクセス、認証済みセッションを貸し出すことで、継続的な収益を得られる可能性があります。

したがって、脅威ハンティングの優先事項は従来型の痕跡指標(IOC)にとどまらず、拡張していく必要があります。AI用APIキーの利用状況や持ち出しの追跡、異常な推論ワークロードを検知するためのCPU/GPUテレメトリのベースライン化、持続的な暗号化された外部通信タスクの検出、そしてブラウザ由来のアーティファクト窃取とクラウド/AIアクセスとの相関分析などです。

Myceliumに関する投稿の一部が誇張されたマーケティング文句だったとしても、個々の手口はすでに実際の攻撃で観測されているものです。それらがAIaaS型ボットネットへと統合されるというシナリオは十分にあり得るものであり、今後のキャンペーンで登場する可能性が高いといえます。

2019年当時のSOCを前提としたSLAはもう卒業を ― 2026年版AI SLAベンダーチェックリスト ― 無料のAI SOC SLAガイドをダウンロード

翻訳元: https://gbhackers.com/ai-as-a-service-botnet/

ソース: gbhackers.com