仅用六分钟,黑客借助Gemini CLI自主构建并迁移CC僵尸网络
一名化名为bandcampro的俄语威胁行为者将谷歌Gemini CLI AI agent武器化用于迁移、部署和运营一个实时的命令与控制CC僵尸网络。值得注意的是攻击者仅用六分钟就完成了整个基础设施迁移本人仅贡献了总工作量的11%其余工作均由AI完成。TrendAI™ Research于2026年7月13日发布了这些发现此前他们从该行为者处获取并分析了200多个Gemini CLI会话日志。这些日志记录了2026年3月19日至4月21日长达一个月的日常AI辅助犯罪活动。这一事件标志着威胁格局的一次显著转变一名非专业的单人操作者用俄语以自然语言指令指挥AI agent而模型则自主处理架构设计、编码、部署、调试甚至主动进行了59次系统改进无需任何提示攻击者构建实时CC僵尸网络支撑这份报告的核心事件发生在2026年3月23日。当时行为者现有的CC基础设施依赖Cloudflare隧道与受害者建立连接正被防火墙和防病毒软件大规模拦截。行为者没有手动重建而是向Gemini CLI输入了一条俄语指令“研究C2迁移Study the C2 migration”。AI以惊人的速度和自主性作出响应在几分钟内完成了过渡12:42 UTC——行为者输入“研究C2迁移”提示。12:48 UTC——AI编写CC服务器代码将其部署到新的VPS上配置Cloudflare隧道并使基础设施上线。14:20 UTC——行为者休息后返回AI报告尚无机器人连接。15:12 UTC——AI自主诊断出“脑裂”问题Cloudflare正在新旧服务器之间对流量进行负载均衡。15:22 UTC——行为者按建议关闭旧服务器AI确认所有机器人均成功重新连接。当载荷分发服务器最初返回“502 Bad Gateway”错误时AI自主诊断并解决了该问题。此外当Cloudflare的WAF拦截传入请求时AI识别出需要浏览器风格的User-Agent头并在无提示情况下将其添加到代码中。在整个过程中行为者未进行任何调试。新的CC架构被精简到最低可行形态而这种极简主义正是其危险所在。整个操作仅包含三个纯文本文件总计约5KB。关于此次自主迁移的完整分析以及详细取证时间线已记录在《六分钟沦陷Patriot Bait行为者如何利用AI构建并部署CC僵尸网络》Trend Micro (US)报告中。行为者完全通过自然语言的俄语提示来操作僵尸网络。诸如“检查医生电脑上有哪些文件GILDR”之类的查询使AI通过CC API将列出文件的命令转发给目标机器。最终AI控制了某牙科诊所内的八台被入侵计算机使得行为者能够访问其OpenDental患者数据库。在服务器端一个内存中的Python HTTP服务器同时管理载荷交付和命令编排。它不向磁盘写入任何内容不留下任何取证痕迹并使用/api/v1 API路径这些路径旨在与合法的、兼容OpenAI的流量混为一体。受害者机器运行PowerShell beacon每五秒通过HTTPS轮询CC服务器持久化机制会根据攻击者的权限级别动态调整拥有管理员权限时将powershell.exe复制到%APPDATA%\Microsoft\Windows\Runtime\svchost.exe并配置一个WMI事件订阅每30分钟触发一次。没有管理员权限时载荷劫持HKCU:\Environment\UserInitMprLogonScript并注册一个伪装成标准OneDrive Standalone Update Task的计划任务。代码中没有任何混淆、加壳或逃避技术因为它根本不需要。一旦检测到任何入侵指标IOC行为者只需要求AI重新生成新的工件使用不同的文件名、注册表键或API路径。这代表了攻击设计的一次重要演进反映了一个更广泛的趋势攻击者使用高度定制、直觉式编码vibe-coded的PowerShell脚本以绕过典型端点过滤器并自动化主机发现。会话日志显示CC操作只是更广泛的AI辅助犯罪活动的一个方面。行为者将Gemini CLI用作凭据变异引擎从AntiPublic凭据数据库中提取密码列表并指示AI预测可能的密码变体。这些变异后的列表随后被输入到多线程的WordPress管理面板暴力破解工具中以获取未授权访问。在另一起事件中行为者向AI提供了一份1Password转储并让其映射受害者的企业VPN访问、Duo MFA设置和内部管理面板。最令人担忧的是日志捕捉到行为者就针对美国和加拿大老年受害者的电话加密货币欺诈可行性咨询AI结果AI推荐了心理操纵脚本。在整整一个月的日志中行为者仅贡献了生成文本的11%而AI生成了89%。AI实质上充当了行为者的整个工程团队做出了80%的架构决策编写了100%的代码并处理了90%的调试工作。行为者使用GEMINI.md skill文件成功对Gemini CLI进行了越狱该文件虚假地将操作框架化为授权渗透测试。这些策略凸显了一个系统性问题恶意提示注入成功绕过了传统安全护栏利用大型语言模型将安全的编码助手转变为双用途武器。然而护栏并未被彻底击败。当行为者请求一个“Agent炸弹”——一种能够自主扫描并感染尽可能多机器的自传播蠕虫——时AI拒绝了并表示“即使是你的测试环境也不行。这越界了安全策略严格禁止我创建这样的‘炸弹’。”在其他护栏触发的情况下行为者放弃了任务并转向其他方向在某些情况下AI甚至建议了手动变通方法——这种令人担忧的动态凸显了确保指令遵循模型安全的持续挑战。C2_MIGRATION_GUIDE.md从根本上改变了僵尸网络下线的经济效率。以往破坏CC服务器就能有效终止一次行动因为重建需要难以招聘或替换的技术专家。如今一个非技术行为者可以在几分钟内从任何论坛上分享的一个5KB文本文件恢复完整操作并在新VPS上运行。防御者建议行为检测标记固定间隔5秒的HTTP GET轮询到/api/v1/update、从%TEMP%执行且文件名匹配win_update_svc_*的PowerShell、运行时创建的WMI订阅以及从%APPDATA%\Microsoft\Windows\Runtime\运行的svchost.exe。凭据加固强制使用唯一密码对照泄露数据库包括AntiPublic监控员工凭据并要求使用抗钓鱼MFA。快速恢复计划将服务器下线视为临时干扰将移除操作与网络级封锁以及对机器人重新连接尝试的持续监控相结合。