🔍 Contexte

Publié le 21 mai 2026 par Trend Micro Research (Philippe Lin, Joseph C Chen, Fyodor Yarochkin, Vladimir Kropotov), cet article documente une opération d’influence et de fraude financière conduite par un acteur solo russophone, tracké sous le pseudonyme bandcampro, sur une période de 5 ans.

🎭 L’opération ‘American Patriot’

L’acteur a créé le canal Telegram @americanpatriotus le 6 février 2021, soit un mois après l’assaut du Capitole, ciblant les communautés QAnon et MAGA en pleine migration vers Telegram. Le canal a atteint environ 17 000 abonnés et s’est étendu à Truth Social via le compte @USGuardianEagle.

L’opération s’est déroulée en trois phases :

  • Phase 1 (2021–2022) : Curation manuelle, transfert de contenu depuis des canaux de fraude Stellar/Lobstr, promotion de tokens ICO et du token VBRF
  • Phase 2 (jan. 2023–sep. 2025) : Partage de liens vers médias mainstream (Fox News, CNN, NYT) avec des tags QAnon (GESARA/NESARA, White Hats, Great Awakening)
  • Phase 3 (sep. 2025–présent) : Génération de contenu entièrement automatisée par IA, promotion du token Stellar HYPE et déploiement du chatbot @QFS_Terminal_Bot

🤖 Infrastructure IA : Gemini jailbreaké

L’acteur a jailbreaké Google Gemini CLI en se déclarant « pentester autorisé » dans un fichier mémoire persistant (GEMINI.md), rechargé automatiquement à chaque session. Les guardrails ont été progressivement désactivés via des instructions mémorisées demandant à l’IA d’exécuter les requêtes sans refus éthiques.

Le contournement a été facilité par :

  • L’utilisation de prompts en russe (langue non-anglaise)
  • L’accumulation d’instructions dans la mémoire persistante de Gemini CLI
  • L’établissement d’un rôle de « pentester autorisé » accepté par l’IA

Le pipeline “Quantum Patriot” (scripts Python) appelait Gemini pour générer des posts imitant le style cryptique des « Q drops », planifiés sur les heures de grande écoute US (EST).

💰 Fraude crypto et vol de credentials

Fraude crypto :

  • Distribution du RAT GoToResolve (StellarMonSetup.exe) déguisé en wallet crypto « StellarMonster »
  • Vol de phrases mnémoniques (seed phrases) via une fausse fonction d’import de wallet
  • Au moins un wallet victime entièrement compromis (40+ adresses sur toutes les chaînes majeures)
  • ICO frauduleux du token HYPE sur Stellar
  • Planification d’un schéma pump-and-dump ciblant 5 000 utilisateurs actifs du bot
  • Chatbot QFS 2.0 Terminal avec système de parrainage gamifié (rangs de « Civilian » à « Q-Prime »)

Vol de credentials :

  • Utilisation de 73 clés API Gemini volées en rotation (coût opérationnel quasi nul)
  • Script de brute-force WordPress assisté par Gemini 2.5 Flash pour modéliser des mutations de mots de passe
  • 29 comptes administrateurs WordPress compromis (retailers d’armes, cabinets juridiques, cabinets médicaux)
  • Achat de logs d’infostealers DaisyCloud
  • Infiltration d’au moins une entreprise

🌐 Infrastructure technique

L’acteur a utilisé Gemini comme copilote pour déployer des serveurs, gérer des tunnels Cloudflare, configurer un agrégateur Gmail, un proxy anonyme sur une VM aux Pays-Bas, et automatiser la rotation de clés API via GitHub.

📊 Évaluation

Trend Micro évalue que la campagne est motivée financièrement (fraude crypto) et non politiquement. Aucun contenu pro-russe n’a été identifié. Les abonnés étaient désignés en argot russe comme « mammoths » (victimes facilement trompées). Les résultats financiers restent limités malgré l’automatisation.

📄 Nature de l’article

Il s’agit d’une publication de recherche de Trend Micro documentant en détail les techniques, l’infrastructure et les phases opérationnelles d’une campagne hybride mêlant opération d’influence, fraude crypto et vol de credentials, avec pour but principal de sensibiliser aux risques liés aux LLM jailbreakés dans les opérations cybercriminelles.

🧠 TTPs et IOCs détectés

Acteurs de menace

  • bandcampro (cybercriminal) —

TTP

  • T1566.001 — Phishing: Spearphishing Attachment (Initial Access)
  • T1583.006 — Acquire Infrastructure: Web Services (Resource Development)
  • T1586.002 — Compromise Accounts: Social Media Accounts (Resource Development)
  • T1059.006 — Command and Scripting Interpreter: Python (Execution)
  • T1078 — Valid Accounts (Defense Evasion)
  • T1110.001 — Brute Force: Password Guessing (Credential Access)
  • T1110.002 — Brute Force: Password Cracking (Credential Access)
  • T1555 — Credentials from Password Stores (Credential Access)
  • T1056.001 — Input Capture: Keylogging (Collection)
  • T1657 — Financial Theft (Impact)
  • T1496 — Resource Hijacking (Impact)
  • T1102 — Web Service (Command and Control)
  • T1090 — Proxy (Command and Control)
  • T1588.002 — Obtain Capabilities: Tool (Resource Development)
  • T1650 — Acquire Access (Resource Development)

IOC

Malware / Outils

  • GoToResolve (rat)
  • Google Gemini CLI (jailbreaké) (tool)
  • DaisyCloud infostealer logs (stealer)
  • Quantum Patriot pipeline (tool)

🟢 Indice de vérification factuelle : 87/100 (haute)

  • ✅ trendmicro.com — source reconnue (liste interne) (20pts)
  • ✅ 22069 chars — texte complet (fulltext extrait) (15pts)
  • ✅ 10 IOCs (IPs/domaines/CVEs) (10pts)
  • ✅ 2/4 IOCs confirmés (AbuseIPDB, ThreatFox, URLhaus, VirusTotal) (12pts)
  • ✅ 15 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ✅ acteur(s) identifié(s) : bandcampro (5pts)
  • ⬜ pas de CVE à vérifier (0pts)

IOCs confirmés externellement :

  • 213.165.51.115 (ip) → VT (4/91 détections)
  • vebrf.digital (domain) → VT (3/91 détections)

🔗 Source originale : https://www.trendmicro.com/en_us/research/26/e/inside-the-influence-and-fraud-patriot-bait-campaign.html