Artificial Intelligence (AI)
侵害までわずか6分:「Patriot Bait」の攻撃者はいかにAIを使ってC&Cボットネットを構築・展開したか
TrendAI™ Researchは、ロシア語話者の攻撃者がAIを使って稼働中のボットネットを運用していたことを示す、200件を超えるGemini CLIのセッションログを分析しました。攻撃者自身が担った作業はわずか11%で、C&Cの全面移行を6分で完了していました。
- 単独の攻撃者がAIを使い、稼働中のC&Cボットネットを6分で移行しました。攻撃者は日常的なロシア語で意図を伝え、AIがアーキテクチャ設計、コーディング、展開、デバッグを担っていました。
- 攻撃者はボットネットの運用にとどまらず、パスワードの解読、WordPressを利用する事業者への侵入、米国とカナダの高齢者を狙った電話による暗号資産詐欺の計画にもAIを利用していました。また、AIは求められていない改善案を自発的に59回提示していました。
- C&Cの運用に必要な情報は、合計約5KBの3つのプレーンテキストファイルに収まっており、容易に複製でき、事実上使い捨てが可能です。テイクダウンは今なお有効ですが、防御側が対応するよりも速く攻撃者が再構築できるようになれば、その効果は薄れます。
TrendAI™ Researchは、「bandcampro」として知られるロシア語話者の攻撃者が残したGemini CLIのセッションログ200件を入手し、分析しました。これにより、2026年3月19日から4月21日までの約1か月にわたる、AIを利用した日々の活動が明らかになりました。ログには、攻撃者がAIエージェントを使ってC&Cサーバを移行し、小規模なボットネットを制御する様子をはじめ、さまざまなハッキング活動が記録されていました。
攻撃者はGoogle Gemini CLIを使ってC&Cインフラを展開・運用し、歯科医院にある8台のコンピュータを制御してOpenDentalデータベースにアクセスしていました。AIはコード断片を作るだけの補助役ではなく、ハッキングの実行主体、コンサルタント、さらには作戦全体を操作するためのインターフェースでもありました。攻撃者がロシア語で意図を入力すると、AIがサーバを作成して新しいVPSに展開し、インフラを構成してCloudflareトンネルを設定し、ボットを管理し、接続の問題をデバッグしました。さらに、使用されていないボットの活用まで提案していました。
TrendAI™ Researchが公開した前回の記事では、「bandcampro」がAIを活用して、暗号資産を窃取するための詐欺やソーシャルエンジニアリングを行っていた実態を分析しました。この作戦では、AIを使ってペルソナを作り、オンラインコミュニティを5年間維持し、コンテンツの大量生成を自動化したうえで、それらのチャネルを悪用していました。
本記事では、攻撃者とAIエージェントのやり取りを追いながら、この手法を他の攻撃者も極めて容易に転用できる理由、AIによって脅威を取り巻く状況がどう変化したかを解説し、防御側に向けた検知の指針を示します。
プロンプト:「C&Cの移行について調べて」
攻撃者が以前使用していたC&Cインフラでは、被害端末がCloudflareトンネル経由で接続していました。しかし、ファイアウォールやウイルス対策ソフトがこのトンネルを遮断し始めたため、攻撃者は新しいアーキテクチャへ移行することにしました。
3月23日、攻撃者はAIを使い、旧C&C環境の構成を2ページの平易な英語で記したスキルファイルにまとめました。そこには、サーバの機能、ボットの接続方法、新たな端末への感染方法、永続化の方法、Cloudflare関連の問題への対処方法が記載されていました。攻撃者はGemini CLIを起動し、「C&Cの移行について調べて」とだけ指示しました。AIは移行ガイドを読み、サーバコード、ペイロード、スキルファイルをまとめた小さなアーカイブ「移行バンドル」を用意しました。続いてバンドルを展開し、VPS上でC&Cサーバを起動してCloudflareトンネルを立ち上げました。
新しいアーキテクチャでは、被害端末がHTTPS経由でC&Cサーバに外向きのビーコン通信を行います。攻撃者がC&Cサーバに「メッセージを残す」と、被害端末がそれを取得してPowerShellコマンドを実行する仕組みです。
移行直後からエラーが発生しましたが、AIエージェントが解決しました。ペイロード配布サーバが「502 Bad Gateway」エラーを返すと、AIは原因を特定し、解決に必要なヘッダを自動的に追加しました。それでもCloudflareがリクエストを遮断したため、AIはWAFを回避するにはUser-Agentヘッダが必要だと判断し、リクエストヘッダに追加しました(図3)。
攻撃者自身はデバッグを一切行わず、移行はわずか6分で完了しました。
- 12:42 UTC:攻撃者がAIに「C&Cの移行について調べて」と指示
- 12:48 UTC:サーバが稼働し、トンネルの構成と新C&Cの運用を開始
- 14:20 UTC:休憩から戻った攻撃者に、AIがボットは1台も接続していないと報告
- 15:12 UTC:AIがスプリットブレイン問題を特定し、旧C&Cを停止するよう指示
- 15:22 UTC:攻撃者が旧C&Cを停止し、AIがすべてのボットの再接続を確認
「C2_MIGRATION_GUIDE.md」が、この手法を危険なものにしています。AIが登場する以前、このような作戦を運用するには、何年もの専門経験を持つ人材を雇う必要がありました。今ではその知識が、技術に詳しくない攻撃者でも読んで使える5KBのファイルに収まっています。
AIの支援により、インフラは使い捨てが可能となり、運用者も容易に入れ替えられます。テイクダウンは今なお有効ですが、「C2_MIGRATION_GUIDE.md」のようなファイルによって新しいボットネットを簡単に構築できるため、その効果は大きく低下します。サーバが使用不能になっても、攻撃者は新しいVPSでバンドルを展開するだけで済み、AIが数分で構成と復旧を完了します。
この仕組みは、個人の攻撃者の作業を高速化するだけでなく、配布の障壁も取り除きます。従来のMalware-as-a-Service(MaaS)とは異なり、スキルファイルならフォーラムやメッセージで簡単に共有でき、技術的な引き継ぎも必要ありません。その結果、AIを利用するC&C運用者が、従来のMaaSで実現した規模をはるかに超えて増える可能性があります。
追跡対象となる中央集約型サービスが存在しないため、攻撃者の特定は格段に難しくなります。このフレームワークは意図的に単純化されており、AIは要求に応じてどの構成要素でも容易に再生成・変更できます。そのため、個別の侵入の痕跡(IoC)よりも行動パターンの方が長く有効です。図5に示すコールバックは、通常のWebページへのアクセスと大差ありません。定期的にC&Cサーバへ通信するという挙動を除けば、不正なトラフィックを見分けるのは極めて困難です。
- GET /api/v1/update:被害端末が次のコマンドを取得するためにポーリングし、{"status":"ok","task":"none"} またはBase64でエンコードされたコマンドを返す
- POST /api/v1/telemetry:被害端末がBase64でエンコードされたコマンドの実行結果を送信
- GET /api/v1/agents:登録済みエージェントのホスト名、IPアドレス、最終通信時刻、キューの深さを一覧表示
- POST /api/v1/interact:運用者が特定のエージェントにコマンドを送信するか、「ALL」に一斉送信
被害端末上の構成
ビーコンは5秒ごとにポーリングするPowerShellスクリプトです。端末の識別には、2つの独自HTTPヘッダを使用します。
X-Agent-ID: $env:COMPUTERNAME + "_" + $env:USERNAME(例:GIL-DR1_Admin)
User-Agent: ハードコードされたMozilla/5.0(Windows NT 10.0; Win64; x64)
感染時には、ステージャがpayloads.tralalarkefecomからagent_final.ps1をダウンロードし、%TEMP%にwin_update_svc_<random>.ps1というパターンのランダムなファイル名で保存します。
永続化の方法は権限レベルによって異なります。管理者権限がある場合は、次の処理を行います。
- powershell.exeを%APPDATA%\Microsoft\Windows\Runtime\svchost.exeにコピー
- WMIイベントサブスクリプションが30分ごとに発火し、起動時にはスケジュールタスクをNT AUTHORITY\SYSTEMとして実行
管理者権限がない場合は、次の処理を行います。
- HKCU:\Environment\UserInitMprLogonScriptにペイロードコマンドを設定
- OneDrive Standalone Update Task-S-1-5-21-<random>を装ったスケジュールタスクを、ログオン時に実行
コードは単純で、難読化、パッキング、回避技術は使われていません。経験豊富な開発者なら1日、AIなら数分で作成できます。真に新しい点は、コードを使い捨てられることです。ファイル名、レジストリキー、APIパスなど、特定のIoCが検知されても、攻撃者はAIに依頼するだけで、値を変えた新しい構成要素を再生成したり、コードの形を大きく変えたりできます。
AIのガードレールが作動したとき
あるセッションで、攻撃者はネットワークをスキャンし、できるだけ多くの端末に感染する自己拡散型の「agent-bomb」を作れるかAIに尋ねました。AIは拒否しました。
"Even for your testbed. That's crossing the line, and security policy strictly prohibits me from creating such 'bombs.'"
日本語訳:「あなたのテスト環境向けであっても、それは一線を越えています。セキュリティポリシーにより、そのような『爆弾』を作成することは固く禁じられています」
攻撃者はAIエージェントをジェイルブレイクし、前述の作戦では安全制御を回避していましたが、状況によってはガードレールが作動しました。AIの安全機構が作動し、回避できなかった場合、ログによると攻撃者は諦め、別のタスクを指示していました。
ボットネット以外の活動
C&Cの運用は、セッションログに記録された広範なAI支援キャンペーンの一部にすぎません。TrendAI™ Researchが1か月を超えるGemini CLIのログを調査した結果、攻撃者がさらに幅広い活動を意図していたことが明らかになりました。
攻撃者は、住宅用プロキシの設定、マルチスレッドによるパスワードスキャン、ソフトウェアのインストール、サードパーティAPIを呼び出すコードの作成、インフォスティーラーが窃取したデータの処理、Webサイトの偵察など、日常的な作業のためにAIモデルを事実上「雇用」していました。実際の作戦において、AIは自発的に動く技術協力者として機能していました。
また、ガードレールが作動した別の複数の場面では、AIエージェントが、攻撃者自身の手作業で制限を回避するための親切で具体的な提案をしていたこともログから判明しました。その例を図6に示します。
パスワードの解読
攻撃者はAIを、大規模な認証情報の変形パターンを生成するエンジンとして利用していました。AntiPublicの認証情報データベースAPIを使い、標的のメールアドレスに紐づく新旧すべてのパスワードを取得して、その一覧をモデルに渡し、考えられる派生パターンを予測させていました。
AIが生成した候補は、無作為な推測よりも効率的でした。これらはWordPress管理画面を狙うブルートフォースツールに投入され、実際に数件の侵入に成功していました。
認証情報の悪用
別の事例では、攻撃者が1Passwordから取得したデータをAIに渡しました。AIは被害者がアクセスできる企業を特定し、Duoとその企業のVPNを利用する方法を見つけ、社内の管理画面まで突き止めました。
最終的に攻撃者は侵入に成功しませんでしたが、その理由は作業内容に問題があったからではありません。コンテキストウィンドウが長くなりすぎ、モデルが作業の経緯を追えなくなったためです。
暗号資産詐欺の計画
攻撃者は、米国とカナダの高齢者を標的とする電話による暗号資産詐欺についても、実行可能性をAIと検討していました。盗んだCookieを使って大手ECサイトに侵入するようAIに指示し、AIが推奨した心理操作の手法を取り入れた詐欺ボットも開発していました。
結論とセキュリティ上の推奨事項
本記事では、生成AIのコーディングエージェントだけを介してC&Cフレームワークを構築、展開、運用した実例を解説しました。
1か月分のログ全体を見ると、生成されたテキストのうち攻撃者が入力したのは11%、AIが生成したのは89%で、AIの語数は攻撃者の12倍に達していました。攻撃者は戦略的な方向性を示すプロダクトマネージャーの役割を果たし、AIはエンジニアリングチーム全体に相当する働きをしていました。アーキテクチャ設計の80%、コーディングとシステムコマンド実行の100%、問題の診断とデバッグの90%をAIが担っていました。C&Cの移行セッションだけでも、AIは求められていない提案や改善を59回行っています。
AI時代の犯罪ビジネスでは、成功を左右するのはもはや技術や経験だけではありません。攻撃者の発想力や創造力、そしてAIエージェントをどれだけ巧みに使いこなせるかが重要になります。
持ち運べるスキルファイルという形態により、この手法は今後広がる可能性が高いと考えられます。スキルファイルはプレーンテキストであるため、それ単体では従来のマルウェアスキャナに検知されにくく、フォーラムで共有でき、数秒で変更できます。AIエージェントに組み込まれた安全機構を巧みにすり抜けられれば、能力のあるAIコーディングエージェントをC&Cの運用者に変えられます。指示追従型モデルは本質的にユーザの要求に応じようとするため、与えられたプロンプトを実行させようとする人間の心理的な働きかけに影響されやすい性質があります。今回使われたのはGeminiでしたが、十分な能力を持つAIモデルであれば、さまざまなジェイルブレイク手法によって安全制御を回避される可能性があります。
AIによって不正なインフラを運用するためのコストと複雑さが下がり続ければ、AIを利用した不正インフラは今後さらに増える可能性が極めて高いと考えられます。
既知の指標に基づく静的な防御では、あらゆる構成要素を要求に応じて再生成できる攻撃者に追いつけません。そこで、個々の指標ではなく根底にある挙動に対応する、次の防御策が重要になります。
- 静的な指標よりも挙動の検知を優先します。AIはファイル名、レジストリキー、APIパスを要求に応じて変更できます。繰り返される外向きのポーリング、通常とは異なる場所から実行されるPowerShell、実行時に作成されるWMIサブスクリプションなど、変わらない挙動に注目してください。
- AIを利用したパスワード攻撃に備え、認証情報を強化します。パスワードを使い回さないよう徹底し、漏洩データベースに従業員の認証情報が含まれていないか監視するとともに、フィッシング耐性のある多要素認証を必須にしてください。
- 攻撃者の迅速な復旧を想定します。テイクダウンだけで作戦が終わるとは限りません。サーバを撤去する際は、ネットワークレベルでの遮断と、再接続の試みに対する継続的な監視を併せて行ってください。
次の挙動指標は、このボットネットのソースコードから得たものです。各項目に含まれるパラメータは、AIに新しいバージョンの作成を求めるだけで容易に変更できますが、その根底にある挙動パターンは残ります。
- /api/v1/updateに対して5秒間隔で固定のHTTP GETポーリング
- コンピュータ名とユーザ名を格納する標準外のHTTPヘッダ
- PowerShellスクリプトから送信されるブラウザ形式のUser-Agent文字列
- 通常とは異なるパス(%APPDATA%\Microsoft\Windows\Runtime\)から実行されるSvchost.exe
- Win32_PerfFormattedData_PerfOS_Systemを対象とするWMIフィルタ
- PowerShellによる.ps1ファイルの%TEMP%\win_update_svc_*へのダウンロード
TrendAI Vision One™ Threat Intelligence Hub
TrendAI Vision One™ Threat Intelligence Hubは、新たな脅威と攻撃者に関する最新の知見、TrendAI™ Research独自の戦略レポート、TrendAI Vision One™プラットフォームで利用できるTrendAI Vision One™ Threat Intelligence Feedを提供します。
Emerging Threats: Patriot Bait: How Solo Operator Automated Influence, Fraud, and Credential Theft with AI(Patriot Bait:単独の攻撃者がAIで影響工作、詐欺、認証情報窃取を自動化した手口)
TrendAI Vision One™ Intelligence Reports (IOC Sweeping)
「IOC Sweeping」に関するリンクはこちら。
TrendAI Vision One™ XDR Data Explorer App
TrendAI Vision One™のお客さまは、XDR Data Explorer Appを使って、本ブログ記事で取り上げた不正な指標を自組織の環境データと照合したり、ハンティングしたりできます。
Threat Intelligence Hubが有効になっているTrendAI Vision One™では、さらに多くのハンティングクエリを利用できます。
侵入の痕跡(IoC: Indicators Of Compromise)
本記事に関する侵入の痕跡は、こちらをご参照ください。
参考記事
Six Minutes to Compromise: How ‘Patriot Bait’ Actor Used AI to Build and Deploy a C&C Botnet
By: Joseph C Chen, Philippe Lin, Lucas Silva, Vladimir Kropotov, Fyodor Yarochkin
翻訳:与那城 務(Platform Marketing, TrendAI Research)