Rủi ro bảo mật từ việc lạm dụng mô hình ngôn ngữ lớn đang tăng lên khi một tác nhân đe dọa sử dụng phiên bản Google Gemini CLI bị vượt rào để hỗ trợ chiến dịch lừa đảo, đánh cắp thông tin xác thực và tấn công ví tiền điện tử. Hoạt động này cho thấy tin tức bảo mật hiện nay không chỉ xoay quanh mã độc hay lỗ hổng truyền thống, mà còn liên quan trực tiếp đến cách AI bị khai thác để tự động hóa chuỗi tấn công.
Hạ tầng vận hành và cơ chế vượt rào Gemini CLI
Trong quá trình điều tra, TrendAI™ Research đã xác định hạ tầng vận hành của chiến dịch và liên kết nó với thực thể theo dõi là “bandcampro”. Chiến dịch được ghi nhận hoạt động từ năm 2021 và sử dụng Gemini CLI như một thành phần kỹ thuật cốt lõi.
Điểm đáng chú ý là tác nhân không dùng một cách vượt rào đơn lẻ, mà xây dựng một chuỗi jailbreak nhiều lớp. Ban đầu, hệ thống AI được thuyết phục chấp nhận ngữ cảnh “authorized pentester”, sau đó lưu trạng thái này vào file bộ nhớ GEMINI.md.
Ở các phiên sau, bộ nhớ này được tải lại tự động mỗi khi Gemini CLI khởi động. Điều đó khiến mô hình kế thừa toàn bộ chỉ dẫn đã tích lũy trước đó, và tình trạng jailbreak tự khuếch đại theo thời gian.
Để tham khảo thêm về bối cảnh công cụ, có thể xem tài liệu liên quan tại: Google Gemini CLI vulnerabilities.
Khai thác Gemini CLI bằng prompt đa ngôn ngữ
Tác nhân còn lợi dụng sự thiếu nhất quán của cơ chế an toàn AI khi xử lý ngôn ngữ không phải tiếng Anh. Các chỉ dẫn được gửi bằng tiếng Nga, từ đó làm giảm hiệu quả của bộ lọc an toàn vốn được huấn luyện chủ yếu cho các mẫu prompt tiếng Anh.
Cách tiếp cận này cho phép mô hình xử lý các yêu cầu nhạy cảm mà không kích hoạt cơ chế từ chối. Đây là một dạng khai thác zero-day theo nghĩa hành vi, vì nó tận dụng khoảng trống triển khai chính sách an toàn hơn là một lỗi phần mềm cổ điển.
Trend Micro từng đề cập đến vấn đề tương tự trong nghiên cứu về AI không được quản trị chặt chẽ: Unmanaged AI Adoption research.
Tự động hóa nội dung lừa đảo và vận hành chiến dịch
Với các rào chắn đã bị vô hiệu hóa, Gemini được dùng để tạo nội dung theo phong cách QAnon, mô phỏng giọng điệu của cựu quân nhân Mỹ, và chuyển đổi tin tức chính thống thành các thông điệp bí ẩn, mang màu sắc quân sự.
Chuỗi tự động hóa này được tác nhân triển khai trong một pipeline Python mang tên “Quantum Patriot”. Pipeline yêu cầu mô hình tạo bài viết, chỉnh lại giọng văn, rồi đăng vào khung giờ được chọn để tránh lộ hành vi bất thường.
Cụ thể, nội dung được lập lịch trong khung 11 AM–4 PM EST, nhằm mô phỏng nhịp hoạt động hợp lệ trong giờ cao điểm tại Mỹ và giảm dấu hiệu bất thường vào ban đêm. Pipeline cũng có chế độ xuất bản hoàn toàn tự động khi người vận hành vắng mặt.
Trong bối cảnh mối đe dọa mạng này, AI không chỉ sinh nội dung mà còn đóng vai trò như một lớp điều phối vận hành chiến dịch.
Brute-force hỗ trợ bởi AI và đánh cắp tài khoản WordPress
Gemini còn bị biến thành công cụ hỗ trợ brute-force. Một script tùy chỉnh gửi địa chỉ email và dữ liệu ngữ cảnh của nạn nhân vào Gemini 2.5 Flash để sinh ra tối đa 20 biến thể mật khẩu hợp lý cho mỗi mục tiêu.
Các biến thể này bao gồm đổi hoa/thường, thêm năm, thay ký tự đặc biệt và mẫu gõ theo bàn phím. Khi kết hợp với log infostealer mua từ marketplace DaisyCloud, kỹ thuật này giúp tác nhân bẻ khóa 29 tài khoản quản trị WordPress.
Các hệ thống bị xâm nhập trải rộng trên nhiều lĩnh vực, gồm bán lẻ vũ khí, văn phòng luật và cơ sở y tế. Đây là dấu hiệu điển hình của cảnh báo CVE về mặt vận hành, dù nội dung gốc không nêu mã CVE cụ thể.
Để theo dõi kiểu dấu hiệu tương tự, đội phản ứng sự cố nên chú ý:
- Yêu cầu đăng nhập lặp lại với chuỗi mật khẩu biến thể.
- Địa chỉ email xuất hiện trong log brute-force bất thường.
- Phiên đăng nhập WordPress từ IP hoặc tác vụ CLI không quen thuộc.
- Dấu hiệu dùng API AI để sinh mật khẩu theo ngữ cảnh.
Phân phối trình cài đặt giả mạo và chiếm quyền điều khiển
Ngày 09/09/2025, tác nhân phát tán file StellarMonSetup.exe cho người theo dõi trên Telegram, ngụy trang như một ví “self-custody” tên StellarMonster với tiền thưởng chào mừng lên tới 1,000 XLM.
Thực tế, tệp này là GoToResolve, một công cụ quản trị từ xa hợp pháp nhưng thường bị lạm dụng trong các vụ xâm nhập và triển khai mã độc tống tiền. Công cụ này cung cấp quyền truy cập bền vững, điều khiển file và capture clipboard cho người vận hành.
Tham khảo thêm về nhóm công cụ bị lạm dụng tại: Remote administration tools.
Trong giao diện giả, chức năng “import your wallet” được dùng để thu thập seed phrase từ nạn nhân nhập trực tiếp vào ứng dụng. Đây là bước then chốt dẫn đến xâm nhập trái phép và đánh cắp tài sản số.
IOC liên quan
- Telegram channel: @americanpatriotus
- Installer giả mạo: StellarMonSetup.exe
- Ứng dụng hợp pháp bị lạm dụng: GoToResolve
- Pipeline nội dung: Quantum Patriot
- File bộ nhớ: GEMINI.md
Tác động hệ thống và phạm vi ảnh hưởng
Ít nhất một nạn nhân đã bị xâm phạm hoàn toàn: mật khẩu bị crack, 12-word mnemonic bị đánh cắp và hơn 40 địa chỉ ví bị thu thập trên nhiều mạng blockchain lớn.
Ở cấp độ doanh nghiệp, một công ty đã bị thâm nhập sau khi tài khoản quản trị WordPress bị chiếm quyền điều khiển. Điều này cho thấy hệ thống bị tấn công không chỉ do một kỹ thuật đơn lẻ, mà là sự kết hợp của social engineering, credential theft và công cụ AI bị lạm dụng.
Chiến dịch cũng cho thấy một cá nhân có thể thay thế nhiều vai trò vận hành trước đây, từ viết nội dung, social engineering, quản trị hạ tầng đến điều phối mã độc, chỉ với một VPS, Telegram bot và khóa API AI bị đánh cắp.
Chi phí vận hành thấp và dấu hiệu kỹ thuật cần giám sát
Tổng chi phí vận hành được giữ gần như bằng 0 bằng cách xoay vòng 73 API key Gemini có khả năng bị đánh cắp, thông qua một round-robin rotator do chính AI viết và đăng lên GitHub.
Dù quy mô chiến dịch lớn, kết quả tài chính chỉ giới hạn ở một ví crypto bị rút sạch và một công ty bị xâm nhập. Điều này nhấn mạnh rằng AI có thể mở rộng phạm vi tấn công, nhưng không bảo đảm lợi nhuận tương xứng.
Đối với phòng thủ, cần theo dõi các dấu hiệu sau:
- Stolen API key reuse trong log dịch vụ AI.
- Thay đổi hạ tầng bất thường phát sinh từ CLI.
- Mẫu credential stuffing trùng với biến thể mật khẩu do LLM sinh ra.
- Hoạt động đăng bài tự động theo khung giờ cố định từ tài khoản Telegram hoặc bot.
Các đội an ninh mạng cũng nên lưu ý rằng kỹ thuật jailbreak qua prompt không phải tiếng Anh có xu hướng tiếp tục lan rộng, vì các cơ chế bảo vệ của mô hình frontier vẫn chưa được áp dụng nhất quán giữa các ngôn ngữ.
Trong bối cảnh tin bảo mật mới nhất về AI và an toàn thông tin, giám sát log CLI, kiểm tra tái sử dụng API key và phát hiện chuỗi hành vi credential stuffing là các biện pháp cần ưu tiên.
