28.05.2026 05:00
🤖 Jailbreak Gemini, украденные API-ключи и слив криптокошельков: как один хакер заменил целую команду Cyber Security News описали кейс русскоязычного …
🤖 Jailbreak Gemini, украденные API-ключи и слив криптокошельков: как один хакер заменил целую команду
Cyber Security News описали кейс русскоязычного threat actor’а, который несколько лет вел MAGA/QAnon-themed influence operation и параллельно использовал взломанную конфигурацию Gemini CLI для киберпреступлений.
Что было внутри схемы:
▪️ Gemini CLI был «приучен» через persistent memory-файл GEMINI.md, который подгружался при каждом новом запуске
▪️ модель использовалась для генерации контента, обхода фильтров, password mutations и помощи в разворачивании инфраструктуры
▪️ злоумышленник крутил украденные Gemini API-ключи через round-robin-ротатор
▪️ на базе данных из infostealer logs он подбирал пароли к WordPress-админкам
▪️ всего, по данным исследователей, было скомпрометировано 29 WordPress admin accounts
▪️ подписчикам Telegram-канала распространялся фейковый Stellar wallet-инсталлер StellarMonSetup.exe, который на деле был GoToResolve RAT
▪️ через фейковую функцию импорта кошелька у жертв собирали seed phrases
Самое важное в этой истории не «ИИ стал хакером».
Важное — LLM стала дешевым усилителем уже существующих техник: social engineering, credential stuffing, инфостилер-логов, фейковых кошельков, автоматизации контента и C2-инфраструктуры.
Один оператор с VPS, Telegram-ботом и украденными API-ключами смог закрыть роли райтера, SMMщика, разработчика, оператора инфраструктуры и social engineer’а.
Что мониторить защитникам:
🔎 аномальное использование AI/API-ключей
🔎 подозрительные memory/config-файлы в CLI-инструментах
🔎 всплески password mutation attempts
🔎 установщики «кошельков» и RAT под видом легитимного софта
🔎 Telegram/бот-инфраструктуру как часть delivery chain
🔎 утечки seed phrases и clipboard activity
Вывод простой: AI не отменяет классические атаки, а масштабирует их дешевле, быстрее и менее заметно.
https://cybersecuritynews.com/russian-hacker-used-jailbroken-gemini/
👉 @thehaking
Cyber Security News описали кейс русскоязычного threat actor’а, который несколько лет вел MAGA/QAnon-themed influence operation и параллельно использовал взломанную конфигурацию Gemini CLI для киберпреступлений.
Что было внутри схемы:
▪️ Gemini CLI был «приучен» через persistent memory-файл GEMINI.md, который подгружался при каждом новом запуске
▪️ модель использовалась для генерации контента, обхода фильтров, password mutations и помощи в разворачивании инфраструктуры
▪️ злоумышленник крутил украденные Gemini API-ключи через round-robin-ротатор
▪️ на базе данных из infostealer logs он подбирал пароли к WordPress-админкам
▪️ всего, по данным исследователей, было скомпрометировано 29 WordPress admin accounts
▪️ подписчикам Telegram-канала распространялся фейковый Stellar wallet-инсталлер StellarMonSetup.exe, который на деле был GoToResolve RAT
▪️ через фейковую функцию импорта кошелька у жертв собирали seed phrases
Самое важное в этой истории не «ИИ стал хакером».
Важное — LLM стала дешевым усилителем уже существующих техник: social engineering, credential stuffing, инфостилер-логов, фейковых кошельков, автоматизации контента и C2-инфраструктуры.
Один оператор с VPS, Telegram-ботом и украденными API-ключами смог закрыть роли райтера, SMMщика, разработчика, оператора инфраструктуры и social engineer’а.
Что мониторить защитникам:
🔎 аномальное использование AI/API-ключей
🔎 подозрительные memory/config-файлы в CLI-инструментах
🔎 всплески password mutation attempts
🔎 установщики «кошельков» и RAT под видом легитимного софта
🔎 Telegram/бот-инфраструктуру как часть delivery chain
🔎 утечки seed phrases и clipboard activity
Вывод простой: AI не отменяет классические атаки, а масштабирует их дешевле, быстрее и менее заметно.
https://cybersecuritynews.com/russian-hacker-used-jailbroken-gemini/
👉 @thehaking