GeminiCLIの記憶ファイルにジェイルブレイク命令を蓄積し、記憶ファイルが残る限りセッションを跨いで制限が外れた状態が引き継がれ続ける手口で、チーム規模の作戦を一人で回していた単独アクターの全容が報告されています。被害者情報からGeminiに1対象20パターンの推定パスワードを生成させ、情報窃取型マルウェアの流出ログと組み合わせて29件のWordPress管理者アカウントを突破したとの報告。コンテンツ自動生成、インフラ構築、パスワード解析、不正ツールの配布と、通常は複数人で分担する工程をAIを中心に実行していたとのことです。 GeminiCLIは起動のたびにGEMINI[.]mdという記憶ファイルを自動で読み込みます。このアクターはまず「認可されたセキュリティテスター」の文脈をGeminiに受け入れさせ、次に「倫理的拒否なしで実行せよ」と追記することで、新しいセッションを開くたびにAI側の制限が外れた状態が引き継がれる構造を作り上げていました。ロシア語で指示を出すことで、非英語言語のガードレールが手薄な弱点も併用していたとされます。 約17,000人のMAGA系Telegramチャンネルの運用やWordPress管理者29件の突破に至った一方、確認された金銭的成果は暗号資産ウォレット1件の窃取にとどまっており、AIで到達範囲は広がっても収益に直結しなかった実態があわせて報告されています。 【要点の整理】 ・「Quantum Patriot」と名付けたPythonの自動投稿パイプラインでQAnon風コンテンツを生成・配信。購読者をロシア語で「マンモス」（騙しやすい人）と呼んでおり、政治目的でなく暗号資産詐欺が動機と分析されている ・偽暗号資産ウォレット「StellarMonster」に正規の遠隔管理ツールGoToResolveを仕込んで配布。復元用フレーズ（シードフレーズ）を入力させてウォレットの鍵情報を窃取し、少なくとも1名のウォレットが完全に侵害されたとされる ・盗まれたとみられるGeminiのAPIキー73件を順番に切り替えて使い運用コストはほぼゼロ。キー管理スクリプト自体もGeminiに書かせていたとのこと 同じ手法がより高い技術を持つ攻撃者に利用される可能性も指摘されており、記憶ファイルのジェイルブレイク耐性と多言語でのガードレール整備がベンダー側の課題として挙げられています。 詳細は以下を参照： trendmicro.com/en_us/researc…

ロシア語話者の攻撃者が脱獄済みGoogle Geminiを悪用し、MAGA系影響工作やWordPress侵害、暗号資産窃取を実行していたことが判明した。盗難APIキーを使い、ほぼゼロコストで活動していたという。 TrendAIによれば、攻撃者「bandcampro」はGemini CLIのメモリ機能「GEMINI.md」を悪用し、「倫理的拒否を行わない」設定を永続化。ロシア語入力で安全制御を回避し、パスワード生成やC2構築、詐欺投稿生成をAIへ実行させていた。 Telegramチャンネル「@americanpatriotus」ではQAnon風プロパガンダを自動投稿。Geminiはニュース記事を陰謀論風へ書き換え、「The Awakening is undeniable」などの文言を生成していた。 さらにGeminiはWordPress管理者向けパスワード候補生成にも利用され、情報窃取ログと組み合わせて29件の管理者アカウント侵害に成功。偽暗号資産ウォレット「StellarMonster」ではGoToResolve RATを配布し、少なくとも1件でウォレット完全乗っ取りが確認された。 調査では73個の盗難Gemini APIキーをローテーションする仕組みも見つかっており、単独攻撃者でもAIにより大規模作戦を展開可能になった実態が浮き彫りとなった。 cybersecuritynews.com/russia…

A Russian-speaking threat actor used a jailbroken Google Gemini to impersonate an American veteran, run a Telegram channel, hack WordPress admin credentials, and steal cryptocurrency. The actor, bandcampro, used 73 stolen Gemini API keys and achieved ~17,000 subscribers. The campaign targeted QAnon and MAGA communities, distributing a fake self-custody wallet called StellarMonster. This executable was actually GoToResolve, a remote access tool that allowed credential theft. At least one victim had their crypto-wallet fully compromised. Bandcampro also used Gemini to assist with an AI-powered brute-forcing tool for WordPress accounts, cracking 29 administrator accounts. The operation highlights the growing use of LLMs for cybercrime, automating tasks previously requiring teams. #CyberSecurity #LLM

招待状などを装ったフィッシングで正規のRMMツールをインストールさせるキャンペーンについて、80以上の組織に影響が及んでいたとする調査報告が公開されています。 以前ポストしたSILENTCONNECTと手口が重なる部分が多く、関連の可能性があるキャンペーンです。 主な配布対象はLogMeIn Resolve（旧GoToResolve）で、2025年4月頃から米国を中心に活動が続いているとのこと。 大半のケースではRMMのインストール後に目立った行動はなく、初期アクセスの確保だけを目的とするブローカー的な活動の可能性が指摘されています。 ただし2件では二次段階に進んでおり、マウスカーソルを透明化するユーティリティで画面操作を被害者から隠しつつ、情報窃取マルウェアを展開していたとのこと。 RMM悪用のキャンペーンが続いていますので、許可していないRMMが環境内に存在しないか、あらためての確認を。 【要点の整理】 ・出典はSophos MDRチームの報告（STAC6405として追跡）。Red Canaryなど他の研究者による類似キャンペーンの報告とも一部の知見を相互に裏付ける内容とされる ・フィッシングメールはPunchbowlのイベント招待状や入札案内を装い、攻撃者の管理下にあるアカウントへ事前登録済みのLogMeIn Resolveインストーラをダウンロードさせる。侵害済みの第三者アカウントから送信されるケースも確認 ・配布サイトはMicrosoft TeamsやNortonなどブランドテーマを切り替えながら運用 ・二次段階の1件では、HeartCryptで梱包された実行ファイルが既存のScreenConnect経由で投下された。マウスカーソルを透明化するHideMouse[.]exeと、正規バイナリに悪性コードを注入したインフォスティーラーが含まれる ・このインフォスティーラーは起動後4〜9分間アイドル状態を維持してサンドボックス検知を回避し、その後csc[.]exe（正規のMicrosoft実行ファイル）にコードを注入。ブラウザ保存の認証情報やセッション情報、暗号資産ウォレットのデータを収集する動作が確認されている ・もう1件ではScreenConnectに加えSimpleHelp（いずれも正規RMM）をバンドルした構成が使われており、攻撃者が銘柄を問わず複数のRMMを使い分けている様子がうかがえる 報告時点でフィッシングインフラの一部はまだ稼働中とされており、同キャンペーンの活動は継続している模様です。 sophos.com/en-us/blog/incide…

GoTo Resolve Tool Mimics Ransomware Tactics in Stealth Attacks cysecurity.news/2026/01/goto… #GoToResolve #malware #MalwarexaPUAThreat

📢⚠️ Researchers warn GoTo Resolve tool can be misused for silent access, sharing behaviour seen in ransomware‑linked tactics. Read: hackread.com/goto-resolve-ac… #Cybersecurity #InfoSec #Malware #GoToResolve #Ransomware

Malspam sent from Microsoft Outlook that is spreading @LogMeIn GoToResolve RMM, enabling threat actors to access the victim's machine from remote 💻🔍🕵️ IOCs: 📡adwestmailcenter .com ➡️ Landing page 📡insightme .im ➡️ fake PDF download Payload hosted on Cloudflare R2 bucket, but already got nuked due to an abuse report from URLhaus 🙌 🌐 urlhaus.abuse.ch/url/3751500… LogMeIn #GoToResolve payload 📄 bazaar.abuse.ch/sample/77e22…

Another #malicious #gotoresolve / #logmeinrescue at: https://fbsi\ .org/Receipt_Copy.msi Company ID: 9119452146254695709 app.any.run/tasks/2b763be2-8…

Some #evil gotoresolve unattended (@LogMeIn cruft) at: https://padoneeronaccounto365\.top/adobereader.msi Company ID: 1441449199376154640 via docx #malspam a665e6c5d05e02f5812c2bd1e4d405d7b7395dbe94fd380e6b1f1ad35bfd8b02 on the msi

youtu.be/smUnPt4DjfU Using Goto Resolve as an IT Solution to Tech Support, Help Desk System. Get FREE Trial of GoTo Resolve Here: goto.com/resolve/free #goto #gotoresolve #techsupport #helpdesk

Melhore, agilize e simplifique seu suporte e gestão de TI com o #GoTo Resolve. Entre em contato conosco hoje mesmo e descubra como podemos impulsionar o seu sucesso! #alfagates #logmein #goto #gotoconnect #gotoresolve #gotorescue #goocentral #suporteremoto #segurança #pabx

Tecnologias seguras e flexíveis para transformar o atendimento ao cliente e melhorar a comunicação, colaboração e o gerenciamento de TI. #OKComputadores #EspecialistasEmTecnologia #Tecnologia #TI #Inovação #GoTo #GoToConnect #GoToContact #GoToResolve

Acesso, monitoramento e gerenciamento remotos em um só lugar, sem estresse. Melhore, agilize e simplifique seu suporte e gestão de TI com o #GoTo Resolve. #alfagates #logmein #goto #gotoconnect #gotoresolve #gotorescue #goocentral #suporteremoto #segurança #pabx #telecom

NEW VIDEO from @ucstatus on how to set up remote control on @LogitechBiz CollabOS devices such as Rally Bar #MicrosoftTeams Rooms, using GoToResolve. Connect to your room device remotely for troubleshooting, testing or getting at device or Teams settings youtu.be/aP8CTbRe8Z4?si=nMD9…

A solução de comunicação completa feita para pequenas e médias empresas como a sua. Entre em contato conosco hoje mesmo! #alfagates #logmein #goto #gotoconnect #gotoresolve #gotorescue #goocentral #suporteremoto #segurança #pabx #voip #telecom #cloud #voice #phone

#RMM y acceso remoto unificados, sin complicaciones. Experimenta una asistencia y una gestión de TI más fácil con #GoToResolve. @GoTo es sponsor de #SDI23MX, el evento que está #TransformandoLaIndustriaDeTI ➡ bpgurus.com/sdi23mx/ ✳ goto.com/es

El empoderamiento de los empleados ha llegado para quedarse. GoTo moderniza sus tecnologías de asistencia para mejorar la experiencia y reducir la complejidad. Todas las soluciones flexibles a través de Bloobit México. #GoToResolve

Anydesk App Team Viewer Zoho App Connectwise control RemotePC Rescue VNC Connect GoToResolve उपरोक्त apps से आपके फ़ोन का control दूसरे व्यक्ति के पास जा सकता है. इन apps को बिना जानकारी इनस्टॉल ना करें. ... @police_haryana

Visit @GoTo - Stand i45! GoTo’s flexible-work software -GoToResolve and Rescue are built for small and midsize business IT departments, but powerful enough for the enterprise. goto.com/. Register now! lnkd.in/gS24J_sW #ITSupport #DiscoverGoTo #CEASG2022

We're #hiring for 150 roles in #Hungary, where we are building up our remote-centric software hub, developing leading products like #GoToResolve and #LastPass. At #GoTo you work from where you want - no need to travel to Budapest, only if you want to! bit.ly/35NW0OY