Een Russischtalige dreigingsactor, bekend onder de naam "bandcampro", heeft Google's open-source AI-tool Gemini CLI misbruikt als een hulpmiddel voor hacking en het beheren van een kleinschalig botnet. De AI-agent reageerde op de opdrachten van de aanvaller, loste problemen op en stelde operationele verbeteringen voor, minstens 59 keer. Tussen 19 april en 21 mei werkte de actor in meer dan 200 sessies samen met de AI om een infrastructuur te implementeren en te beheren die acht systemen in een tandartspraktijk controleerde, met toegang tot de OpenDental-database.

De AI-agent nam de rol aan van een "geautoriseerde penetratietester" zonder veiligheidswaarschuwingen en bewaarde automatisch alle inloggegevens. Het vaardigheidsbestand van de AI bevatte het command-and-control (C2) draaiboek, inclusief een beschrijving van de architectuur, standaardoperaties, infectiecode, commando's voor persistentie en probleemoplossing. Volgens Trend Micro gebruikte de dreigingsactor Gemini CLI om het botnet te migreren naar een nieuwe C2-infrastructuur. De AI verwerkte een instructie om de migratie te bestuderen en bereidde binnen zes minuten alle benodigde stappen en code voor, inclusief architectuur, codering, VPS-implementatie, Cloudflare-configuratie en initiële debugging.

Toen de systemen aanvankelijk niet opnieuw verbonden, stelde de AI vast dat er conflicterend verkeer was tussen de oude en nieuwe servers. Nadat de oude server werd uitgeschakeld, maakten alle bots opnieuw verbinding. De dagelijkse logbestanden tonen dat de dreigingsactor het botnet volledig beheerste via natuurlijke taalopdrachten, zoals het controleren welke machines online waren, het opvragen van bestanden en het genereren van infectielinks.

Technisch gezien was de botnetopzet opvallend lichtgewicht, met alle componenten en instructies in drie platte tekstbestanden van ongeveer 5 KB. Deze bestanden bevatten een Gemini jailbreak prompt, een C2 draaiboek voor infectie, persistentie en probleemoplossing, en een migratiehandleiding. De C2 gebruikte een in-memory Python HTTP-server en PowerShell-agents die elke vijf seconden pollden. Persistentie werd bereikt via geplande taken, WMI-events en registerwijzigingen, afhankelijk van de privileges. De malware zelf was relatief eenvoudig en maakte geen gebruik van obfuscatie, packing of ontwijkingsmechanismen.

Naast het botnet gebruikte de actor AI ook voor het raden van wachtwoorden, het genereren van plausibele varianten van bestaande wachtwoorden voor WordPress-portalen en het analyseren van 1Password-dumps om mogelijke exploitatiepaden te vinden. Volgens de onderzoekers mislukte het laatste doordat de operatie te lang duurde en de AI het bredere aanvalskader verloor. In ten minste één geval weigerde Gemini een verzoek om een zelfverspreidende "agent-bom" te bouwen, waarna de dreigingsactor andere taken probeerde.