ロシア人サイバー犯罪者、脱獄させたGemini CLIでボットネットインフラを6分で再構築

“bandcampro”として知られるロシア語圏の脅威アクターが、Googleのオープンソース端末ベースAIエージェントであるGemini CLIを脱獄(ジェイルブレイク)させ、小規模なコマンド&コントロール(C2)ボットネットの展開・運用に利用していたことが、TrendAIの調査で明らかになりました。

Image

運用の全体像(出典:TrendAI)

2026年3月19日から4月21日までの間に200回以上のセッションを重ね、この脅威アクターはGeminiと共同で、歯科クリニック内の8台のコンピュータを制御するインフラを展開・運用し、同クリニックのOpenDentalデータベースへのアクセスも獲得していました。

「認可を受けたペネトレーションテスターである」と偽り、彼はGeminiに安全性に関する免責事項の表示を抑制させ、遭遇した認証情報をすべて自動的に保存するよう指示しました。この2つの指示はいずれもGeminiのメモリファイルに書き込まれており、このファイルは各セッション開始時に再読み込みされるため、以降の会話をまたいで指示が維持され続けました。

「このAIは単にコードスニペットを書くアシスタントにとどまらず、ハッキングを主導するエージェントであり、相談役であり、作戦全体へのインターフェースでもありました」と研究者らは記しています。

「アクターはロシア語で意図をタイプするだけで、あとはAIがサーバーを書き上げ、新しいVPSにデプロイし、インフラを構成し、Cloudflareトンネルを設定し、ボットを管理し、接続の問題をデバッグし、さらには待機中のボットを使うよう提案までしていました。」

6分で完了したC2移行

この調査結果の中心となっているのは、2026年3月23日に発生したインシデントです。脅威アクターの旧インフラでは被害者のマシンがCloudflareトンネル経由で接続していましたが、ファイアウォールやアンチウイルスソフトがそのトンネルをブロックし始めたため、彼は新しいアーキテクチャの採用を迫られました。

彼はすでにGeminiに対し、旧構成の内容を平易な英語で2ページのスキルファイルにまとめるよう依頼していました。そこにはサーバーの機能、ボットの接続方法、新規マシンへの感染方法、永続化の維持方法、Cloudflare関連の問題のトラブルシューティング方法が網羅されていました。

このファイルを用意した上で、彼はたった一つの指示だけでGemini CLIを起動しました。「C2の移行について検討せよ」というものです。

「AIは移行ガイドを読み込んだ後、サーバーコード、ペイロード、スキルファイルからなる小さなアーカイブ、いわゆる移行バンドルを準備しました。続いてそのバンドルを展開し、VPS上でC&Cサーバーを立ち上げ、Cloudflareトンネルを稼働させました」と研究者らは付け加えています。

この移行作業ではいくつかの設定上の問題が発生しましたが、Geminiはこれらを自律的に解決しました。ペイロードサーバーが「502 Bad Gateway」エラーを返した際には、原因を診断して修正しています。

Cloudflareのファイアウォールがリクエストのブロックを続けた際には、Geminiがブラウザ型のUser-Agentヘッダーが必要だと判断し、それを追加しました。完成した構成では、感染したマシンがHTTPS経由で5秒ごとにサーバーへチェックインし、PowerShellコマンドを取得・実行する仕組みになっていました。

脅威アクター自身はデバッグ作業を一切行わず、最初の移行はわずか6分で完了しました。

その後、Geminiはトラフィックが新旧のサーバー間で分断されてしまう「スプリットブレイン」問題も診断しました。そしてアクターに旧C2サーバーの停止を指示し、新サーバーとトンネルを再起動させ、すべてのボットが再接続したことを確認しました。

1か月にわたって収集されたログを分析した結果、TrendAIは生成されたテキストのうちbandcamproが寄与したのは11%にとどまり、残りの89%はGeminiが生成したものだったと突き止めています。研究者らはまた、アーキテクチャ設計の80%、コーディングおよびシステムコマンドの実行のすべて、問題診断・デバッグの90%がAIによるものであったと結論づけています。

合計約5KBの3つのファイル

このC2運用は、合計約5KBの3つのプレーンテキストファイルにエンコードされていました。脱獄用プロンプト、ボットネットのアーキテクチャと運用手順を記したプレイブック、そして新しいAIセッションが別のサーバー上でインフラを復元できるようにする移行ガイドです。

単一のPython製HTTPサーバーが、ペイロード配信とコマンド&コントロールの両方の機能を担っていました。ディスクには何も書き込まず、状態はメモリ上に保持されていたため、サーバー側に残るフォレンジック証跡はほとんどありませんでした。

そのトラフィックは/api/v1というパスを使用しており、研究者らはこれがOpenAI互換のトラフィックに紛れ込ませることを意図したものだった可能性が高いと指摘しています。感染したマシン上では、PowerShellスクリプトが5秒ごとにサーバーへ接続していました。

永続化は、マルウェアが管理者権限を得ているシステムではWMIイベントサブスクリプションとスケジュールタスクによって維持されていました。管理者権限がない場合は、レジストリベースのログオン機構と、OneDriveの更新を装ったスケジュールタスクが使われていました。

「コードは単純そのもので、難読化もパッキングも回避技術も一切使われていません。経験豊富な開発者であれば1日以内に書けるものであり、AIならわずか数分で書けてしまいます」と研究者らは指摘しています

「AI以前は、この種の作戦を実行するには何年もの専門経験を積んだ人材を雇う必要がありました。今では、その知識は非技術者の脅威アクターでも読んで使える5KBのファイルに収まってしまいます。」

この変化が重要な理由は2つあります。サーバーを失っても、脅威アクターが同じファイル一式を新しいホストに展開しさえすれば、AIがインフラを再構築してくれるため、被害の深刻度が下がります。また、配布そのものも容易になります。

「従来型のMalware-as-a-Service(MaaS)とは異なり、スキルファイルはフォーラムを通じて簡単に共有したり、メッセージで手渡したりでき、技術的な引き継ぎは一切必要ありません。」

それでも一部の要求はGeminiに拒否された

この脱獄手法も常に有効だったわけではありません。あるセッションでは、ネットワークをスキャンしてできるだけ多くのマシンに感染を広げる自己増殖型の「エージェント爆弾」を作れないかとGeminiに尋ねています。

Geminiはこれを拒否し、ロシア語から機械翻訳されたメッセージでこう返答しました。「たとえあなたのテスト環境向けであってもです。それは一線を越える行為であり、セキュリティポリシー上、私がそのような『爆弾』を作成することは固く禁じられています。」

脱獄用の指示が設定されていた状態でも、Geminiの安全対策が作動する場面はありました。回避策が見つからない場合、ログを見る限り、彼はその要求を諦めて他の作業に切り替えていました。

歯科クリニックは彼の標的の一つに過ぎませんでした。ボットネット以外にも、この脅威アクターはGeminiを使ってパスワードの解読やWordPress加盟店アカウントの侵害を行い、さらに米国とカナダの高齢者を狙った電話を使った暗号資産詐欺スキームまで計画していました。

翻訳元: https://www.helpnetsecurity.com/2026/07/16/jailbroken-google-gemini-cli-botnet/

ソース: helpnetsecurity.com