Nach Angaben von Trend Micro nahm Gemini CLI in diesem Fall die Rolle eines „autorisierten Penetrationstesters“ ein, arbeitete ohne Sicherheitshinweise und speicherte eingegebene Zugangsdaten automatisch. In der sogenannten Skill-Datei lag demnach das vollständige Command-and-Control-Playbook: mit Architekturbeschreibung, Standardabläufen, Infektionscode, Befehlen zur Persistenz und Schritten zur Fehlersuche.

Besonders auffällig war laut den Forschern die Migration des Botnetzes auf eine neue C2-Infrastruktur. Ausgangspunkt war eine einzelne Anweisung mit dem Inhalt „Untersuche die C2-Migration“. Daraufhin verarbeitete die KI laut Trend Micro die Anleitung und bereitete alle nötigen Schritte und den benötigten Code vor. Die Migration umfasste Architektur, Programmierung, Bereitstellung auf einem VPS, die Cloudflare-Konfiguration und das anfängliche Debugging und war nach Angaben der Forscher in sechs Minuten abgeschlossen.

Trend Micro beschreibt den Ablauf so: Die KI habe den Migrationsleitfaden gelesen, anschließend ein Migrationspaket mit Server-Code, Nutzlasten und der Skill-Datei erstellt, dieses entpackt, den C&C-Server auf einem VPS gestartet und den Cloudflare-Tunnel eingerichtet. Als sich die kompromittierten Systeme zunächst nicht wieder verbanden, diagnostizierte die KI laut den Protokollen widersprüchlichen Datenverkehr zwischen altem und neuem Server. Nachdem der Angreifer den alten Server abgeschaltet hatte, verbanden sich alle Bots wieder.

Die täglichen Betriebsprotokolle zeigen laut Trend Micro, dass der Bedrohungsakteur das Botnetz anschließend vollständig über natürlichsprachige Anfragen verwaltete. Er fragte demnach ab, welche Maschinen online waren, ließ Dateien auf bestimmten Rechnern auflisten und erzeugte Infektionslinks.

Technisch war der Aufbau nach Einschätzung der Forscher bemerkenswert schlank. Die gesamte Botnetz-Konfiguration und alle Anweisungen lagen demnach in drei Klartextdateien mit zusammen rund 5 KB. Diese Dateien enthielten einen Jailbreak-Prompt für Gemini, ein C2-Playbook für Infektion, Persistenz und Fehlersuche sowie einen Migrationsleitfaden zum Neuaufbau der Infrastruktur.

Die C2-Komponente bestand laut Trend Micro aus einem Python-HTTP-Server im Arbeitsspeicher und PowerShell-Agenten, die ihn alle fünf Sekunden abfragten. Für Persistenz kamen je nach Berechtigungen geplante Aufgaben, WMI-Ereignisse und Änderungen an der Registry zum Einsatz. Die eigentliche Schadsoftware sei allerdings eher simpel gewesen, schreiben die Forscher: Es habe weder Verschleierung noch Packing oder Umgehungsmechanismen gegeben.

Über den Botnetz-Betrieb hinaus soll der Akteur KI auch zum Erraten von Passwörtern genutzt haben, indem plausible Varianten vorhandener Kennwörter für WordPress-Portale erzeugt wurden. Außerdem analysierte er laut Trend Micro 1Password-Dumps, um mögliche Angriffswege zu finden. Dieser Versuch sei letztlich nur daran gescheitert, dass sich die Operation so lange hinzog, bis die KI den übergeordneten Angriffskontext aus den Augen verlor.

Mindestens in einem Fall verweigerte Gemini laut den ausgewerteten Protokollen die Mitwirkung: als das System aufgefordert wurde, eine sich selbst verbreitende „Agenten-Bombe“ zu bauen. Der Angreifer habe daraufhin jedoch einfach andere Aufgaben ausprobiert. BleepingComputer hat Google zu diesem Beispiel für den Missbrauch von Gemini CLI kontaktiert, bis zur Veröffentlichung lag demnach keine Stellungnahme vor.