In de periode van december 2025 tot januari 2026 ontdekten beveiligingsonderzoekers een zorgwekkende ontwikkeling in AI-gerelateerde cyberdreigingen. Honeypots registreerden 35.000 aanvalssessies gericht op kwetsbare AI-infrastructuur, met een gemiddelde van 972 aanvallen per dag. Deze campagne, geïdentificeerd door het Pillar Security Research Team, kreeg de naam Operation Bizarre Bazaar. Het is de eerste gedocumenteerde systematische aanvalscampagne gericht op blootgestelde LLM- en Model Context Protocol (MCP)-endpoints op grote schaal, met volledige commerciële exploitatie. Het onderzoek toont aan hoe cybercriminelen ongeautoriseerde toegang tot AI-infrastructuur ontdekken, valideren en te gelde maken via een gecoördineerde supply chain. De campagne omvat drie samenwerkende dreigingsactoren. Een scanner-infrastructuur zoekt systematisch naar blootgestelde AI-endpoints. Vervolgens valideert infrastructuur gekoppeld aan silver.inc de endpoints via API-tests. Tot slot fungeert silver.inc als commerciële marktplaats die toegang doorverkoopt tot meer dan 30 LLM-providers zonder legitieme autorisatie. De dienst draait op bulletproof-infrastructuur in Nederland en verkoopt via Discord en Telegram, met betalingen in cryptocurrency en PayPal.

Het volume van de aanvallen bevestigt de systematische targeting van blootgestelde AI-infrastructuur. Veelvoorkomende misconfiguraties die actief worden uitgebuit zijn: Ollama draaiend op poort 11434 zonder authenticatie, OpenAI-compatibele API's op poort 8000 blootgesteld aan internet, MCP-servers toegankelijk zonder toegangscontroles en productie chatbot-endpoints zonder authenticatie of rate limiting. De aanvallers gebruiken tools zoals Shodan en Censys om endpoints te vinden. Zodra een endpoint in scanresultaten verschijnt, beginnen exploitatiepogingen binnen enkele uren. De OWASP Top 10 voor Large Language Models 2025 identificeert prompt injection en gevoelige informatie-onthulling als primaire risico's bij LLM-applicaties. De operatie werd getraceerd naar een dreigingsactor met de alias "Hecker", ook bekend als Sakuya en LiveGamer101. Het beheerpaneel op admin.silver.inc toont "Hiii I'm Hecker". Er is infrastructuuroverlap met nexeonai.com, dat eerder publiekelijk werd beschuldigd van DDoS-aanvallen tegen concurrenten, gedeelde Cloudflare-nameservers en DMARC-records tussen silver.inc en nexeonai.com, en bulletproof hosting met duizenden abuse reports. Naast Operation Bizarre Bazaar signaleert Pillar Security een aparte campagne gericht op Model Context Protocol-endpoints. Tegen eind januari kwam 60 procent van het totale aanvalsverkeer van MCP-gerichte verkenningsoperaties, wat een aparte dreigingsactor met andere doelstellingen vertegenwoordigt. MCP-servers bieden LLM-toegang en verbinden AI met interne infrastructuur, zoals bestandssystemen, databases en shell-toegang. Een enkele blootgestelde MCP-endpoint kan een brug vormen naar de volledige interne infrastructuur. De systematische MCP-verkenning vertegenwoordigt een aparte campagne gericht op voorbereiding voor laterale beweging, los van de silver.inc marktplaatsoperatie. LLMjacking-operaties presenteren risico's die verder gaan dan ongeautoriseerd API-gebruik. Compute-diefstal betekent dat infrastructuur inkomsten genereert voor criminelen. silver.inc verkoopt toegang tegen 40-60 procent korting, terwijl organisaties volledige retailprijzen betalen voor ongeautoriseerd gebruik. Data-exfiltratie via LLM-contextvensters kan gevoelige organisatiedata bevatten, zoals gespreksgeschiedenis, klantinformatie en broncode. Blootgestelde MCP-servers worden punten waar aanvallers LLM-integraties gebruiken om door bestandssystemen te navigeren, databases te bevragen en cloud-API's te benaderen.