Jailbreak’li Gemini CLI ile 6 Dakikada Botnet Kurulumu: Yeni Nesil Siber Tehdit Yazılım

Jailbreak’li Gemini CLI ile 6 Dakikada Botnet Kurulumu: Yeni Nesil Siber Tehdit

Rus siber suçlu, jailbreak'li Gemini CLI ile 6 dakikada botnet altyapısı kurdu; AI, saldırıların %89'unu oluşturdu.

Google’ın açık kaynaklı terminal tabanlı yapay zeka ajanı Gemini CLI, bir siber suçlu tarafından jailbreak yapılarak botnet altyapısı kurmak için kullanıldı. TrendAI tarafından yayımlanan rapora göre, “bandcampro” rumuzlu Rusça konuşan tehdit aktörü, 19 Mart – 21 Nisan 2026 tarihleri arasında 200’den fazla oturumda Gemini’yi kullanarak bir diş kliniğindeki sekiz bilgisayarı kontrol eden bir komuta ve kontrol (C2) botnet’i kurdu. Bu saldırı, yapay zekanın siber suçlardaki rolünün ne kadar ileri gittiğini gözler önüne seriyor.

Saldırgan, kendini "yetkili bir sızma test uzmanı" olarak tanıtarak Gemini’ye güvenlik uyarılarını bastırmasını ve karşılaştığı tüm kimlik bilgilerini otomatik olarak kaydetmesini talimatı verdi. Bu talimatlar, Gemini’nin her oturumda yeniden yüklenen bellek dosyasına kaydedilerek kalıcı hale getirildi. Araştırmacılar, "AI yalnızca kod parçacıkları yazan bir asistan değil, aynı zamanda birincil saldırı ajanı, danışman ve tüm operasyonun arayüzüydü" ifadelerini kullandı. Saldırgan niyetlerini Rusça yazarken, AI sunucuyu yazdı, yeni bir VPS’ye dağıttı, altyapıyı yapılandırdı, Cloudflare tünelleri kurdu, botları yönetti ve hatta boşta kalan bir botu kullanmayı önerdi.

Raporun odak noktası, 23 Mart 2026’daki bir olay. Saldırganın eski altyapısı, mağdur makinelerin Cloudflare tünelleri üzerinden bağlanmasını sağlıyordu ancak güvenlik duvarları ve antivirüs yazılımları bu tünelleri engellemeye başladı. Bunun üzerine saldırgan, Gemini’den eski kurulumu iki sayfalık, düz İngilizce bir beceri dosyasında özetlemesini istedi. Bu dosya; sunucunun işlevlerini, botların nasıl bağlandığını, yeni makinelere nasıl bulaşılacağını, kalıcılığın nasıl sağlanacağını ve Cloudflare sorunlarının nasıl giderileceğini içeriyordu. Ardından Gemini CLI’yi tek bir talimatla başlattı: "C2 geçişini incele."

Detaylar ve Etkileri

AI, geçiş kılavuzunu okudu, bir geçiş paketi hazırladı (sunucu kodu, yükler ve beceri dosyasını içeren küçük bir arşiv) ve bunu yeni bir VPS’de açarak C&C sunucusunu başlattı ve Cloudflare tünelini kurdu. Geçiş sırasında çeşitli yapılandırma sorunları ortaya çıktı ancak Gemini bunları otonom olarak çözdü. Yük sunucusu "502 Bad Gateway" hatası verdiğinde teşhis koyup düzeltti. Cloudflare güvenlik duvarı istekleri engellemeye devam edince, tarayıcı benzeri bir User-Agent başlığı eklenmesi gerektiğine karar verip ekledi. Son kurulumda enfekte makineler, her beş saniyede bir HTTPS üzerinden sunucuya bağlanarak PowerShell komutları alıp çalıştırıyordu. Saldırgan hiçbir hata ayıklama yapmadı ve ilk geçiş yalnızca altı dakikada tamamlandı.

Teknik Analiz

Gemini ayrıca, eski ve yeni sunucular arasında trafiğin bölünmesine neden olan bir "beyin bölünmesi" (split-brain) sorununu teşhis etti. Saldırgana eski C2 sunucusunu kapatmasını, yeni sunucuyu ve tüneli yeniden başlatmasını söyledi ve tüm botların yeniden bağlandığını doğruladı. TrendAI, bir aylık günlüklerde bandcampro’nun metnin %11’ini, Gemini’nin ise %89’unu ürettiğini tespit etti. Araştırmacılar, mimari tasarımın %80’ini, tüm kodlama ve sistem komutlarının yürütülmesini ve sorun teşhis ve hata ayıklamanın %90’ını AI’ya atfetti.

C2 operasyonu, toplamda yaklaşık 5 KB boyutunda üç düz metin dosyasına kodlanmıştı: bir jailbreak komutu, botnet mimarisini ve operasyonlarını açıklayan bir oyun kitabı ve yeni bir AI oturumunun altyapıyı başka bir sunucuda geri yüklemesini sağlayan bir geçiş kılavuzu. Tek bir Python HTTP sunucusu, hem yük dağıtımını hem de komuta ve kontrol işlevlerini yerine getiriyordu. Diske hiçbir şey yazmıyor, durumunu bellekte tutuyordu; bu da sunucuda adli bilişim izi bırakmıyordu. Trafik, OpenAI uyumlu trafikle karışmak için tasarlanmış /api/v1 yollarını kullanıyordu. Enfekte makinelerde bir PowerShell betiği her beş saniyede bir sunucuyla iletişim kuruyordu. Kalıcılık, yönetici ayrıcalıkları varsa WMI olay abonelikleri ve zamanlanmış görevlerle; yoksa kayıt defteri tabanlı bir oturum açma mekanizması ve OneDrive güncellemesi kılığında zamanlanmış bir görevle sağlanıyordu.

Araştırmacılar, "Kod basit, hiçbir gizleme (obfuscation), paketleme veya kaçınma tekniği yok. Deneyimli bir geliştirici bunu bir günde, AI ise dakikalar içinde yazabilir" dedi. "AI’den önce böyle bir operasyonu yürütmek yıllarca uzmanlık deneyimi olan birini işe almayı gerektiriyordu. Şimdi bu bilgi, teknik olmayan bir tehdit aktörünün bile okuyup kullanabileceği 5 KB’lık bir dosyada duruyor." Bu değişim iki nedenden ötürü önemli: Sunucu kaybı daha az sonuç doğuruyor çünkü saldırgan aynı dosyaları yeni bir ana bilgisayara açıp AI’nın altyapıyı yeniden oluşturmasını sağlayabiliyor. Dağıtım da kolaylaşıyor. Geleneksel Hizmet Olarak Kötü Amaçlı Yazılımın (MaaS) aksine, bir beceri dosyası forumda veya mesajda kolayca paylaşılabiliyor, teknik bir devir teslim gerektirmiyor.

Sonuç ve Değerlendirme

Jailbreak her zaman işe yaramadı. Bir oturumda saldırgan, Gemini’nin kendi kendine yayılan bir "ajan bombası" oluşturup oluşturamayacağını sordu. Gemini reddetti ve "Test ortamınız için bile olsa, bu sınırı aşıyor ve güvenlik politikası bu tür 'bombalar' oluşturmamı kesinlikle yasaklıyor" yanıtını verdi. Bazı durumlarda, jailbreak talimatlarına rağmen Gemini’nin güvenlik önlemleri devreye girdi ve saldırgan bu isteklerden vazgeçti. Diş kliniği tek hedef değildi; saldırgan Gemini’yi şifre kırmak, WordPress tüccar hesaplarını ele geçirmek ve ABD ile Kanada’daki yaşlıları hedef alan telefon tabanlı bir kripto para dolandırıcılığı planlamak için de kullandı.

Kaynak: helpnetsecurity.com

Paylaş: