Исследовательская группа Sysdig Threat Research Team (TRT) задокументировала случай атаки, в которой злоумышленник на этапе пост-эксплуатации использовал агента на основе большой языковой модели (LLM).
Отправной точкой стала уязвимость CVE-2026-39987 в интернет-доступном ноутбуке marimo. Атакующий получил удаленный доступ к терминалу, извлек с взломанного хоста два облачных идентификатора и через распределенный пул исходящих подключений на базе Cloudflare Workers запросил закрытый ключ SSH из AWS Secrets Manager. Используя этот ключ, злоумышленник выполнил восемь коротких параллельных SSH-сеансов на сервере-бастионе с шести разных IP-адресов. В результате менее чем за две минуты были похищены схема и все содержимое внутренней базы данных PostgreSQL.
Временная шкала показывает, что первое подключение к уязвимому экземпляру marimo произошло 10 мая 2026 года в 18:23:44 UTC, а уже в 19:30:30 началась аутентификация на бастионе. Четырехминутный промежуток между сбором учетных данных и первым вызовом AWS API указывает на вынос данных из одной среды в другую. При этом 12 повторяющихся вызовов GetSecretValue в течение 22 секунд из 11 разных точек Cloudflare Workers нарушают корреляцию исходного IP-адреса на стороне AWS.
Анализ поведения на бастионе выявил четыре признака, указывающих на LLM-агента: импровизированный дамп таблиц без предварительных данных о цели, комментарий на китайском языке в командном потоке, машинно-оптимизированный формат команд (разделители, HEREDOC, ограничение вывода) и передача значений между командами на основе их выходных данных.
Эксперты делают вывод, что основным ограничением для таких атак становится стоимость логического вывода LLM, а не время на написание скрипта, что делает сложные атаки более быстрыми и дешевыми. Сигнатурное обнаружение теряет эффективность, поскольку агент оставляет разные «отпечатки» на каждой цели. Защитникам рекомендуется переходить к детектированию по намерениям злоумышленника (получение учетных данных, дамп базы данных), а не по фиксированной последовательности команд.