ロシア語話者アクター、脱獄済みGemini AIをハッキングに活用　MAGA支持者少なくとも1名の暗号資産ウォレットが空に

ロシア語話者アクター、脱獄済みGemini AIをハッキングに活用　MAGA支持者少なくとも1名の暗号資産ウォレットが空に

The Register – Fri 22 May 2026

あるロシア語話者脅威アクターが、AI脱獄済みのGoogle Geminiを使い、熱烈なトランプ大統領支持者や陰謀論者らを標的に暗号資産詐欺や認証情報窃取攻撃を仕掛けていたという。トレンドマイクロが報告した。

このアクターは「bandcampro」というハンドル名を用いる「スキルの低い」アクターとされ、2025年9月から2026年5月にかけて、Geminiの手を借りながらTelegramチャンネル「@americanpatriotus」を運営。米国の退役軍人になりすまし、QAnon系陰謀論者やMAGA支持層を標的に、管理者認証情報のハッキングや暗号資産の窃取といった活動を行っていたという。

トレンドマイクロの研究者らは、bandcamproのインフラを2026年5月に発見。Telegramチャンネル自体は5年前から存在していたものの、2026年初頭にAI生成のコンテンツを取り入れるようになって以来急成長していることを特定したという。

同アクターは、QアノンおよびMAGAコミュニティを標的とし、QAnon陰謀論の核心をなす謎の人物「Q」のメッセージを模倣したコンテンツを展開。このチャンネルは最終的に17,000人ほどの登録者を獲得し、Geiminiの盗難APIキーとみられるものを73件使ってWordPress管理者認証情報29件の侵害や企業システムへの侵入、暗号資産ウォレットからの資産窃取などを行っていたとされる。

Geiminiの主な用途の1つだったのが、Telegramチャンネルに投稿するコンテンツの生成。bandcamproはFox NewsやCNNなどのソースからニュースフィードを取り込み、Geiminiにニュースをリライトさせることでコンテンツキャンペーンを自動化していた。Geminiに対しては、愛国主義チャンネルの管理者として「隠された視点」を探してリライトするよう指示していたとされる。

2025年9月9日、bandcamproは「StellarMonster」と名付けられた偽の暗号資産についてポストし、「ウェルカムボーナス」として1,000 XLMを支給すると宣伝。しかし、この偽ウォレットの実行ファイル「StellarMonSetup.exe」は実際には正規のリモートアクセスツール「GoToResolve」で、bandcamproはこれを利用することで被害者端末のデスクトップ操作を行えるようになっていた。トレンドマイクロによれば、このRATによって少なくとも1人の被害者が暗号資産ウォレットを完全に侵害されたという。

このほか、bandcamproは以下のような用途でAIを活用していたとされる。

• ハッキングの支援
• C2フレームワーク（メールテスティングツール、Gmailアグリゲーター、オランダの仮想マシン上の匿名プロキシなどを含む）のセットアップ支援
• 認証情報の窃取・検証の支援
• チャットボットの運用（Venice.ai）
• WordPressアカウントハッキングのためのブルートフォース用ツールの作成支援

など

このほか、bandcamproはGeiminiとの会話において、5,000人のユーザーを集めたらどれくらい稼げるのかを質問したり、プロの暗号資産詐欺師が北米のユーザーに対して用いる手法を尋ねたりしていたという。後者の質問に対し、Geminiは高齢者を標的にしたMedicareやHealth Canada関連の詐欺を提案したとされる。

トレンドマイクロは、「以前はライター・ソーシャルメディア担当者・IT担当者・マルウェアプログラマーから成るチームを必要としていた作業が、今ではVPS、Telegramボット、そして最先端のモデルへのAPIアクセスを利用すれば、たった1人で自動化できるようになった」と警告している。