Peretas Membidik Proxy Salah Konfigurasi untuk Akses Layanan LLM Berbayar
Pelaku ancaman siber dilaporkan tengah melakukan pemindaian sistematis terhadap server proxy yang salah dikonfigurasi untuk mendapatkan akses ilegal ke layanan large language model (LLM) komersial berbayar. Aktivitas ini terdeteksi dalam sebuah kampanye berkelanjutan yang dimulai sejak akhir Desember dan masih berlangsung hingga awal Januari.
Berdasarkan pemantauan platform intelijen ancaman GreyNoise, para penyerang telah menargetkan lebih dari 73 endpoint LLM dan menghasilkan lebih dari 80.000 sesi koneksi. Untuk menghindari deteksi, mereka menggunakan kueri berprofil rendah seperti salam singkat, input kosong, atau pertanyaan faktual sederhana guna mengidentifikasi model AI yang dapat diakses tanpa memicu peringatan keamanan.
Aktivitas Berprofil Abu-Abu Teridentifikasi
Dalam laporan terbarunya, GreyNoise mengungkap bahwa selama empat bulan terakhir, honeypot Ollama yang mereka operasikan menangkap total 91.403 aktivitas mencurigakan yang terbagi ke dalam dua kampanye terpisah.
Kampanye pertama dimulai pada Oktober dan masih aktif hingga saat ini, dengan lonjakan signifikan sebanyak 1.688 sesi dalam rentang 48 jam menjelang Natal. Operasi ini mengeksploitasi celah server-side request forgery (SSRF), yang memungkinkan penyerang memaksa server korban terhubung ke infrastruktur eksternal yang mereka kendalikan.
Peneliti menemukan bahwa pelaku memanfaatkan fungsi model pull pada Ollama untuk menyisipkan URL registry berbahaya serta integrasi webhook SMS Twilio melalui parameter MediaURL. Meski demikian, jenis alat dan infrastruktur yang digunakan mengindikasikan bahwa aktivitas ini kemungkinan berasal dari peneliti keamanan atau pemburu bug bounty. Indikasi tersebut diperkuat dengan penggunaan infrastruktur ProjectDiscovery OAST, yang lazim dipakai dalam pengujian kerentanan.
GreyNoise menilai skala serangan dan waktu pelaksanaannya menunjukkan karakteristik operasi grey-hat, yakni aktivitas yang berada di area abu-abu antara riset keamanan dan eksploitasi agresif. Data telemetri juga menunjukkan bahwa kampanye ini berasal dari 62 alamat IP di 27 negara, dengan karakteristik menyerupai VPS, bukan botnet tradisional.
Kampanye Kedua Fokus Enumerasi Endpoint LLM
Kampanye kedua terdeteksi mulai 28 Desember dan menunjukkan pola enumerasi berskala besar untuk mengidentifikasi endpoint LLM yang terekspos atau salah dikonfigurasi. Dalam waktu 11 hari, aktivitas ini menghasilkan 80.469 sesi, dengan dua alamat IP secara konsisten memindai lebih dari 73 endpoint model menggunakan format API yang kompatibel dengan OpenAI dan Google Gemini.
Model-model yang menjadi target mencakup layanan dari berbagai penyedia besar, antara lain GPT-4o dan variannya, Claude Sonnet, Opus, dan Haiku, Llama 3.x, DeepSeek-R1, Gemini, Mistral, Qwen, hingga Grok. Strategi kueri ringan digunakan untuk menguji akses tanpa menimbulkan kecurigaan dari sistem keamanan.
GreyNoise mencatat bahwa infrastruktur pemindaian yang digunakan dalam kampanye ini sebelumnya pernah dikaitkan dengan eksploitasi kerentanan berskala luas. Hal tersebut mengindikasikan bahwa aktivitas enumerasi ini merupakan bagian dari upaya pengintaian terorganisir untuk memetakan layanan LLM yang dapat diakses secara tidak sah.
Meski belum ditemukan bukti eksploitasi lanjutan, pencurian data, atau penyalahgunaan model AI, para peneliti menilai intensitas dan skala pemetaan ini sebagai sinyal niat berbahaya. Investasi puluhan ribu permintaan enumerasi dianggap tidak mungkin dilakukan tanpa rencana pemanfaatan di tahap berikutnya.
Rekomendasi Mitigasi dan Perlindungan
Untuk mengurangi risiko, organisasi disarankan membatasi proses model pull Ollama hanya ke registry tepercaya, menerapkan egress filtering, serta memblokir domain callback OAST yang dikenal di tingkat DNS. Langkah tambahan mencakup pembatasan laju akses dari ASN mencurigakan dan pemantauan network fingerprint JA4 yang kerap dikaitkan dengan alat pemindaian otomatis.
