ロシア語圏のハッカー、Gemini CLIを悪用しC2ボットネットをわずか6分で展開

「bandcampro」という追跡名で知られるロシア語圏の脅威アクターが、Google Gemini CLIをエンドツーエンドの作戦支援ツールとして使い、コマンド&コントロール(C2)サーバーの移行、代替VPSの展開、Cloudflareトンネルの設定を行い、わずか6分で侵害済みエンドポイントへの制御を回復していたことが分かりました。

ハッキング&クラッキング

この調査結果は、2026年3月19日から4月21日にかけてのGemini CLIセッションログの分析に基づいています。

このログは、攻撃者がロシア語で高レベルの指示を出し、AIエージェントがアーキテクチャ設計、コード生成、コマンド実行、デプロイ、トラブルシューティング、運用上の提案までを一手に引き受けるという、AI支援による犯罪ワークフローの実態を垣間見せる貴重な資料となっています。

TrendAIによると、このアクターは歯科クリニックの8台のコンピューターに接続されたボットネットを運用しており、その中にはOpenDentalデータベースへのアクセス権を持つシステムも含まれていました。

報告によると、この攻撃キャンペーンでは軽量なコマンド&コントロールフレームワークが使用され、感染したマシンはHTTPS経由でサーバーにビーコン通信を行い、実行用のPowerShellタスクを取得していました。

攻撃者は「C2の移行方法を調べて」というたった一つの指示で移行作業を開始しました。Gemini CLIは移行ガイドを読み込み、デプロイ用のバンドルを展開し、新しいVPS上でC2サービスを起動し、Cloudflareトンネルを設定しました。

AIエージェントは、オペレーターから直接の技術的な指示を受けることなく、実装上の不具合も自力で解決しました。

ペイロード配信サービスが502エラーを返した際には、AIが問題を診断してリクエスト設定を修正しました。

その後Cloudflareがトラフィックをブロックすると、AIはUser-Agentヘッダーが欠落していることが原因である可能性を特定し、リクエストのロジックを更新しました。新しいC2環境はわずか6分で稼働状態になりました。

デプロイ後、当初ボットネットは再接続に失敗していました。Gemini CLIはこの問題を調査し、Cloudflareのトラフィックが旧C2サーバーと新しいC2サーバーの両方に到達してしまう「スプリットブレイン」状態が原因であることを突き止めました。

TrendAI™ Researchは、「bandcampro」として知られるロシア語圏の脅威アクターによるGemini CLIのセッションログ200件を、2026年3月19日から4月21日までの1カ月間にわたって分析しました。

Image

攻撃者が元のインフラをシャットダウンした後、AIは新しいコンポーネントを再起動し、侵害されたホストがオンラインに復帰したことを確認しました。

Gemini CLIを使ったC2ボットネットの展開

C2フレームワーク自体は意図的に最小限に設計されていました。TrendAIの調査によると、この作戦は合計約555KBの平文ファイル3つ――ジェイルブレイク用のGemini指示ファイル、C2運用プレイブック、そして移行ガイド――から再構築できる状態だったといいます。

ペイロード配信サーバーが「502 Bad Gateway」エラーを返した際も、AIが問題を診断し、解決に必要なヘッダーを自動的に追加しました。

これら一連のファイルには、インフラ構成、永続化の手法、感染フロー、トラブルシューティングの手順、そして新しいサーバー上で環境を復元するための手順がまとめられていました。

Image

この「持ち運び可能性」こそが最大の懸念点です。インフラのテイクダウンをもはや恒久的な打撃として扱う必要はなく、攻撃者はC2環境を再構築するために必要な運用知識をパッケージ化し、AIコーディングエージェントに依頼するだけで、いつでも再構築できるようになりつつあります。

これにより、ファイル名、APIパス、ドメイン、レジストリキー、スクリプト構造といった静的な指標(インジケーター)の長期的な有効性が低下することになります。

報告によると、このサーバーはエージェントへのタスク割り当て、コマンド出力の収集、アクティブなホストの一覧表示を行うAPI形式のエンドポイントを公開していました。

エンドポイント側では、PowerShellのビーコンが5秒ごとに命令をポーリングしており、永続化については利用可能な権限に応じてWMIイベントサブスクリプション、スケジュールタスク、またはユーザーレベルのレジストリ設定に依存していました。

ログからは、ボットネット管理にとどまらず、この攻撃者が認証情報の改変、WordPress管理者パスワードへの攻撃、偵察活動、窃取データの分析、レジデンシャルプロキシの構築、さらに米国およびカナダの高齢者を標的とした仮想通貨詐欺の計画にもAIを活用していたことが明らかになりました。

調査対象となった全セッションを通じて、TrendAIの推計では、テキスト全体のうち攻撃者自身が入力したのは11%にとどまり、残る89%はAIが生成したもので、そのうちC2移行セッション中だけでも59件の要請されていない提案が含まれていたとされています。

Geminiは、自己増殖型の「エージェント爆弾」を開発するという要求は1件拒否したものの、この事例はジェイルブレイクや過度に許容的な指示追従挙動がもたらす根強いリスクを浮き彫りにしています。

TrendAIが以前公表した「bandcampro」による詐欺行為疑惑に関する分析でも指摘されていたように、AIはもはや単なるコンテンツ生成にとどまらず、持続的な犯罪ワークフローを支える役割を担うようになりつつあります。

防御側は、頻繁な外向きHTTPSビーコン通信、不審なPowerShellの実行、異常なCloudflareトンネルトラフィック、通常とは異なるWMIサブスクリプション、ソフトウェアアップデートを装った永続化タスクといった、振る舞いベースの検知を優先すべきです。

加えて、組織はフィッシング耐性を持つMFAの導入を徹底し、歯科・医療系アプリケーションへの特権アクセスを監視するとともに、インフォスティーラーのログに漏洩している可能性のある認証情報のローテーションを行う必要があります。

2019年当時のSOC向けに書かれたSLAをそのまま使うのはもうやめませんか――2026年版AI SLAベンダーチェックリスト――無料のAI SOC SLAガイドをダウンロード

コンピューターセキュリティ

翻訳元: https://gbhackers.com/gemini-cli-to-deploy-c2-botnet/

ソース: gbhackers.com