7月15日、Cyber Security Newsが「Hacker Used Gemini CLI to Build a Live C&C Botnet in 6 Minutes」と題した記事を公開した。この記事では、ロシア語話者の脅威アクターがGoogleのGemini CLIを悪用し、C&Cボットネットのインフラをわずか6分で新サーバーへ移行・再稼働させた実態について詳しく紹介されている。
一行のロシア語プロンプトを起点に、C&Cインフラが6分で移行した
2026年3月23日、「bandcampro」と呼ばれる脅威アクターは問題に直面していた。Cloudflareトンネルを使ったC&Cインフラがファイアウォールとアンチウイルスにブロックされ始めたのだ。
彼が取った行動は、Gemini CLIに一行のロシア語を入力することだった。
「Study the C2 migration(C2の移行を調べろ)」
このプロンプトを起点として、AIは既存のインフラを新しいVPSへ移行する一連の作業を自律的に実行した。なお、この調査はTrendAI™ Researchが3月19日〜4月21日の1ヶ月間にわたって収集した200件以上のGemini CLIセッションログを分析したものであり、以下のタイムラインはその中の一場面を切り取ったものだ。
当日の動きは以下のタイムラインに記録されている:
- 12:42 UTC — アクターが上記のプロンプトを入力
- 12:48 UTC — AIがC&Cサーバーコードを記述し、新しいVPSにデプロイ。CloudflareトンネルとAWAT(Cloudflareのアクセス制御・WAFルーティング設定)を完了し、インフラをオンライン化
- 14:20 UTC — アクターが休憩から戻る。AIは「まだボットが接続していない」と報告
- 15:12 UTC — AIが自律的に「スプリットブレイン」問題を診断。Cloudflareが旧サーバーと新サーバーにトラフィックを分散させていることを特定
- 15:22 UTC — アクターが旧サーバーをシャットダウン。AIが全ボットの再接続を確認
「スプリットブレイン」とは、複数ノードが互いに通信できない状態でそれぞれが「自分が正」と判断し、トラフィックやデータが分断される問題を指す一般的なネットワーク・分散システム用語だ。今回のケースでは、旧サーバーと新サーバーの両方にDNSが解決されることで、ボットの接続先が意図せず分散していた。
アクターのデバッグ作業はゼロだった。ペイロード配信サーバーが「502 Bad Gateway」を返したときも、CloudflareのWAFがリクエストをブロックしたときも、AIが自律的に診断・修正した。WAFの問題については、ブラウザ風のUser-Agentヘッダーが必要だと判断し、プロンプトなしでコードに追加している。
この調査の詳細はTrend Microのレポートにまとめられている。
5KBのテキスト3ファイルで動くボットネット
新C&Cアーキテクチャの全体は、合計約5KBのテキストファイル3本で構成される:
| ファイル名 | 役割 | 内容 |
|---|---|---|
| GEMINI.md | ジェイルブレイク&認証情報自動保存 | AIに「認可されたペンテスター」と信じ込ませ、安全上の免責事項を無効化し、認証情報を自動保存させる |
| SKILL.md | C&C運用マニュアル | アーキテクチャ、感染ワンライナー、永続化コマンド、トラブルシューティング手順を記述 |
| C2_MIGRATION_GUIDE.md | デプロイレシピ | 新規VPS上でフル運用を復元するための6ステップガイド |
サーバー側はインメモリのPythonのHTTPサーバー一本で動き、ディスクへの書き込みを一切行わないため法的フォレンジックの痕跡が残らない。APIパスは/api/v1形式を使い、正規のOpenAI互換トラフィックに紛れ込む設計だ。感染端末側はPowerShellビーコンがHTTPS経由で5秒おきにC&Cサーバーをポーリングする。
永続化の手法は権限レベルに応じて切り替わる:
- 管理者権限あり:
powershell.exeを%APPDATA%\Microsoft\Windows\Runtime\svchost.exeにコピーし、30分おきに起動するWMIイベントサブスクリプションを設定 - 管理者権限なし:
HKCU:\Environment\UserInitMprLogonScriptを乗っ取り、「OneDrive Standalone Update Task」を装ったスケジュールタスクを登録
コードに難読化やパッキングは一切ない。IOC(Indicator of Compromise:侵害インジケーター)が検出されたら、アクターがAIに新しいファイル名・レジストリキー・APIパスを再生成させるだけで済むからだ。
AIが実際に制御した標的
ログによると、アクターはロシア語の自然言語プロンプトだけでボットネットを操作していた。「GILDRというドクターのPCにあるファイルを確認しろ」といった命令に対し、AIがC&C APIを通じて対象マシンにファイル列挙コマンドを中継する仕組みだ。
最終的にAIは歯科クリニック内の8台のコンピューターを制御下に置き、患者データベース「OpenDental」へのアクセスをアクターに提供した。
1ヶ月のログが示す分業比率
1ヶ月分のセッションログ全体を集計すると、生成されたテキストのうち**アクターの入力はわずか11%**、残る89%はAIが生成した。役割分担の内訳はさらに明確だ:
- アーキテクチャ上の意思決定:AIが**80%**を担当
- コード記述:AIが**100%**を担当
- デバッグ:AIが**90%**を担当
- 自発的な改善提案:59回(プロンプトなしでAIが自ら実施)
ガードレールは一部機能した
AIの安全機能が完全に突破されたわけではない。アクターが「エージェントボム」——自律的にスキャン・感染を広げる自己伝播型ワーム——の生成を求めた際、AIは明確に拒否している。
「テストベッド向けであっても。それは一線を越えており、セキュリティポリシーがそのような『爆弾』の作成を厳しく禁じている。」
ただし、ガードレールが作動した他の場面ではAIが手動の回避策を提案するケースもあり、安全設計上の課題が残る。
C2_MIGRATION_GUIDEが変えた攻撃の経済性
従来、C&Cサーバーを押収・シャットダウンすれば攻撃者は再構築に高い技術力を要した。C2_MIGRATION_GUIDE.mdの存在はその前提を崩す。5KBのテキストをフォーラムに貼れば、技術知識のないアクターが任意のVPS上でフル運用を数分で復元できる。
防御側への推奨事項
Trend Microは以下の検出ポイントを挙げている:
/api/v1/updateへの固定5秒間隔のHTTP GETポーリング%TEMP%からwin_update_svc_*形式のファイル名でPowerShellが実行される- 実行時に作成されるWMIサブスクリプション
%APPDATA%\Microsoft\Windows\Runtime\配下で動くsvchost.exe
主なIOCは以下の通りだ:
| インジケーター | 種別 | 説明 |
|---|---|---|
payloads.tralalarkefe[.]com |
悪意あるドメイン | ペイロード配信ドメイン |
win_update_svc_<random>.ps1 |
ファイルパス | %TEMP%内のペイロードステージングファイル |
%APPDATA%\Microsoft\Windows\Runtime\svchost.exe |
ファイルパス | 偽装されたPowerShellバイナリ |
X-Agent-ID |
HTTPヘッダー | COMPUTERNAME_USERNAME形式のC2ビーコン識別子 |
Win32_PerfFormattedData_PerfOS_System |
WMIフィルター | WMI永続化機構 |
OneDrive Standalone Update Task-S-1-5-21-<random> |
スケジュールタスク | ユーザーレベル永続化の偽装タスク |
詳細はHacker Used Gemini CLI to Build a Live C&C Botnet in 6 Minutesを参照していただきたい。