Kampanye “Bizarre Bazaar” Bajak Endpoint LLM Terbuka untuk Monetisasi Akses AI Ilegal
Sebuah kampanye kejahatan siber berskala besar terungkap menargetkan endpoint LLM (Large Language Model) yang terekspos atau memiliki autentikasi lemah. Operasi ini memanfaatkan akses tidak sah ke infrastruktur AI untuk tujuan komersialisasi ilegal, mulai dari pencurian sumber daya komputasi hingga penjualan ulang akses API di pasar gelap.
Penelitian yang dilakukan oleh Pillar Security selama periode 40 hari mencatat lebih dari 35.000 sesi serangan terhadap honeypot mereka. Dari temuan tersebut, peneliti mengidentifikasi operasi terorganisir yang diberi nama “Bizarre Bazaar”, yang disebut sebagai salah satu contoh awal serangan LLMjacking yang dapat dikaitkan dengan aktor ancaman tertentu.
Dalam laporannya, Pillar Security menjelaskan bahwa Bizarre Bazaar berfokus pada penyalahgunaan endpoint LLM yang tidak diamankan dengan baik. Akses ilegal tersebut dimanfaatkan untuk berbagai aktivitas berbahaya, termasuk mencuri sumber daya komputasi untuk penambangan kripto, menjual kembali akses API ke pihak lain, mengekstraksi data sensitif dari prompt dan riwayat percakapan, serta mencoba melakukan pergerakan lateral ke sistem internal melalui server Model Context Protocol (MCP).
Vektor serangan yang paling umum mencakup implementasi LLM self-hosted, API AI yang terekspos tanpa autentikasi, server MCP yang dapat diakses publik, serta lingkungan pengembangan atau staging AI yang memiliki alamat IP publik. Penyerang secara khusus mengeksploitasi kesalahan konfigurasi, seperti endpoint Ollama tanpa autentikasi pada port 11434, API kompatibel OpenAI pada port 8000, serta chatbot produksi yang dapat diakses tanpa kontrol keamanan memadai.
Para peneliti mencatat bahwa serangan biasanya dimulai hanya beberapa jam setelah endpoint yang salah konfigurasi terdeteksi oleh mesin pemindai internet seperti Shodan atau Censys. Hal ini menunjukkan tingkat otomasi tinggi dalam proses pemantauan dan eksploitasi target.
Menurut Pillar Security, ancaman ini berbeda dari penyalahgunaan API konvensional. Endpoint LLM yang berhasil dibajak dapat menimbulkan biaya besar karena proses inferensi yang mahal, membuka akses ke data organisasi yang sensitif, serta memberikan peluang pergerakan lateral ke sistem lain yang bernilai tinggi bagi penyerang.
Analisis lebih lanjut mengungkap adanya rantai pasokan kriminal yang melibatkan setidaknya tiga aktor ancaman yang diduga bekerja dalam satu operasi terkoordinasi. Aktor pertama menggunakan bot untuk memindai internet dan menemukan endpoint LLM serta MCP. Aktor kedua memvalidasi temuan tersebut dan menguji aksesnya. Aktor ketiga mengoperasikan layanan komersial bernama SilverInc, yang dipromosikan melalui Telegram dan Discord untuk menjual kembali akses AI ilegal dengan pembayaran kripto atau PayPal.
SilverInc memasarkan proyek bernama NeXeonAI, yang diklaim sebagai “infrastruktur AI terpadu” dengan akses ke lebih dari 50 model AI dari berbagai penyedia besar. Pillar Security juga mengaitkan operasi ini dengan individu atau kelompok yang menggunakan alias “Hecker,” “Sakuya,” dan “LiveGamer101.”
Selain Bizarre Bazaar, peneliti juga melacak kampanye terpisah yang berfokus pada pengintaian endpoint MCP. Kampanye ini membuka peluang pergerakan lateral yang lebih luas melalui interaksi Kubernetes, akses layanan cloud, dan eksekusi perintah shell, yang sering kali lebih bernilai dibandingkan sekadar monetisasi berbasis konsumsi sumber daya.
Hingga saat ini, kampanye Bizarre Bazaar masih berlangsung dan layanan SilverInc dilaporkan tetap aktif. Temuan ini menjadi peringatan serius bagi organisasi yang mengoperasikan layanan AI agar memastikan endpoint LLM dan MCP diamankan dengan autentikasi yang kuat, pembatasan akses jaringan, serta pemantauan berkelanjutan untuk mencegah penyalahgunaan infrastruktur AI.
