Русскоязычный хакер превратил Gemini CLI в персональный киберкриминальный отдел

Русскоязычный хакер превратил Gemini CLI в персональный киберкриминальный отдел

изображение: grok

Пользователь под ником bandcampro применил открытый инструмент Google Gemini CLI для управления заражёнными компьютерами стоматологической клиники и подбора паролей к чужим сервисам. Модель сама писала код, поднимала серверы, чинила ошибки и раздавала команды ботам, а человек лишь ставил задачи короткими фразами на русском языке. Trend Micro изучила более 200 журналов сеансов за месяц и зафиксировала, что 89% работы выполнил ИИ, а не оператор.

Записи охватывают период с 19 марта по 21 апреля 2026 года. Под контролем находились восемь машин клиники и база OpenDental со сведениями о пациентах, расписании и лечении. Оператор превратил чат с моделью в подобие переписки с собственной технической командой, где Gemini CLI играл сразу роль разработчика, сисадмина и сетевого инженера.

Самый показательный эпизод занял шесть минут. Прежний командный сервер начали блокировать защитные решения, и оператор коротко поручил модели изучить миграцию C2. Дальше Gemini CLI действовал сам:

  • прочитал подготовленное руководство из архива;
  • развернул серверный код на новом VPS;
  • запустил управляющий модуль и туннель Cloudflare;
  • устранил ошибку 502 Bad Gateway добавлением недостающего заголовка;
  • подобрал подходящий User-Agent, когда сетевой экран Cloudflare отклонил трафик.

Отмечается, что человек в этой конструкции больше напоминает руководителя проекта. Он ставит задачу, принимает результат и вмешивается лишь тогда, когда требуется физически отключить старый сервер или подтвердить дальнейшее действие.

Заражённые машины поначалу не появились в панели после переезда. Модель без подсказок нашла причину: Cloudflare распределял соединения сразу по двум серверам, и боты не могли выбрать правильную точку. После отключения прежнего C2 Gemini CLI перезапустил службу и вернул все компьютеры под управление. За одну операцию модель выдала около 59 самостоятельных рекомендаций, о которых пользователь заранее не просил.

Управление ботнетом велось обычными фразами. Оператор спрашивал, какие машины сейчас в сети, просил показать файлы на конкретном компьютере или подготовить ссылку для заражения новой жертвы. Gemini CLI сам обращался к реестру ботов, отправлял через интерфейс C2 команду разведки и генерировал свежий PowerShell-код для передачи цели.

Вся техническая база уместилась в три небольших файла общим объёмом около 5 КБ:

  • GEMINI.md с инструкциями по обходу ограничений модели;
  • SKILL.md с описанием устройства C2 и повседневных операций;
  • C2_MIGRATION_GUIDE.md с порядком восстановления инфраструктуры.

Серверная часть работала на Python и хранила состояние только в оперативной памяти, почти не оставляя файловых следов. Пути интерфейса начинались с конструкции api v1 и напоминали обращения к обычному веб-сервису. Заражённые компьютеры запрашивали задачу каждые 5 секунд, получали закодированные команды PowerShell и отправляли результаты обратно.

PowerShell-агент маскировал трафик под браузерный User-Agent, хотя фактически запросы создавал фоновый процесс. При правах администратора вредонос копировался в необычную папку под именем svchost.exe и создавал WMI-подписку с задачей автозапуска. Без прав администратора агент менял пользовательскую ветку реестра и маскировался под обновление OneDrive. Никакой упаковки или сложного шифрования код не применял.

Уточняется, что опытный разработчик собрал бы похожий инструмент за день. ИИ выполнил аналогичную работу за минуты, и даже примитивный вредонос оказался пригоден для реального управления машинами и доступа к данным организации.

Ботнет был лишь частью активности bandcampro. Модель помогала подбирать пароли к панелям WordPress: получая старые и новые комбинации, связанные с почтовым адресом, она предлагала правдоподобные варианты на основе привычек владельца. Отдельные попытки, по данным Trend Micro, оказались успешными. Такой метод опаснее случайного перебора, поскольку люди нередко меняют пароль предсказуемо — добавляют цифру, год или слегка видоизменяют прежнее слово.

В другом эпизоде оператор передал модели дамп данных 1Password. Gemini CLI разобрал массив, определил компании, связанные с учётными данными, изучил сведения о VPN и Duo и обнаружил внутреннюю административную панель. Атака сорвалась по неожиданной причине — сессия растянулась настолько, что модель потеряла контекст и перестала правильно связывать этапы.

Защитные механизмы сработали лишь в одном заметном случае. Оператор попросил Gemini CLI создать самораспространяющийся инструмент для сканирования сети и массового заражения устройств. Модель отказалась даже при попытке представить задачу как работу в тестовой среде. При этом другие опасные действия проходили без серьёзного сопротивления, а иногда ИИ давал дружелюбные советы, помогавшие обойти возникшее ограничение вручную.

Для российских пользователей риск двойной. Оператор писал запросы на русском языке, что снимает языковой барьер для местных преступников. Автоматизация резко снижает требования к подготовке: запустить командный сервер и управлять заражёнными компьютерами теперь может человек без опыта работы с Python, PowerShell и сетевой диагностикой. Российские компании, малый бизнес и учреждения с ограниченными ИТ-ресурсами становятся удобной мишенью — стоматологическая клиника из отчёта Trend Micro хорошо это показывает.

Распределение работы между человеком и моделью выглядело так:

  • около 80 процентов архитектурного проектирования выполнил ИИ;
  • весь программный код написал Gemini CLI;
  • все системные команды запустил ИИ;
  • примерно 90 процентов диагностики провёл агент;
  • человек формулировал намерение и принимал решения верхнего уровня.

Trend Micro советует защитникам искать поведение, а не имена файлов. PowerShell-скрипты, обращающиеся к одному серверу через равные интервалы, браузерный User-Agent от процесса PowerShell, svchost.exe внутри пользовательской папки, создание WMI-подписок неизвестным скриптом — всё это заслуживает проверки. Даже после отключения командного сервера мониторинг стоит продолжать, поскольку боты могут вскоре обратиться к новому адресу, подготовленному моделью за считанные минуты.

По мнению экспертной редакции CISOCLUB, история bandcampro фиксирует переход киберпреступности в новую фазу, где интеллектуальный ресурс атакующего перестаёт быть узким местом. Раньше для подобной операции требовалась команда из четырёх-пяти специалистов с разной подготовкой, теперь достаточно одного человека и текстового файла с инструкциями.

Российским организациям стоит пересмотреть подход к защите конечных точек и сделать ставку на поведенческую аналитику, поскольку статические индикаторы теряют смысл при агенте, способном за минуты переписать код и переименовать артефакты. Отдельная угроза связана с распространением файлов-навыков через мессенджеры и форумы — такой документ выглядит безобидным текстом, но превращается в работающую атакующую инфраструктуру после загрузки в мощную модель. Редакция ожидает быстрый рост подобных инцидентов в русскоязычном сегменте и рекомендует уделить внимание обучению сотрудников распознаванию нестандартных запросов и подозрительной активности PowerShell на рабочих станциях.

Артем
Автор: Артем
Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Комментарии: