Uma campanha maliciosa, chamada ‘Bizarre Bazaar’, está visando endpoints de Modelos de Linguagem de Grande Escala (LLMs) expostos, com o objetivo de comercializar acesso não autorizado à infraestrutura de IA. Pesquisadores da Pillar Security registraram mais de 35.000 sessões de ataque em 40 dias, revelando uma operação de cibercrime em larga escala. Os atacantes exploram configurações inadequadas, como endpoints não autenticados, para roubar recursos computacionais para mineração de criptomoedas, revender acesso a APIs em mercados darknet e exfiltrar dados de conversas. Os vetores de ataque comuns incluem configurações de LLM auto-hospedadas e APIs de IA expostas. A operação é atribuída a um ator específico que utiliza os pseudônimos “Hecker”, “Sakuya” e “LiveGamer101”. Além disso, a Pillar Security está monitorando uma campanha separada focada em reconhecimento de endpoints de Model Context Protocol (MCP), que pode oferecer oportunidades adicionais de movimento lateral. A campanha ‘Bizarre Bazaar’ continua ativa, e o serviço associado, SilverInc, ainda está operacional.
Fonte: https://www.bleepingcomputer.com/news/security/hackers-hijack-exposed-llm-endpoints-in-bizarre-bazaar-operation/
⚠️BR DEFENSE CENTER: SECURITY BRIEFING
28/01/2026 • Risco: ALTO
ATAQUE
Campanha maliciosa ataca serviços de IA expostos para acesso não autorizado
RESUMO EXECUTIVO
A operação 'Bizarre Bazaar' representa uma ameaça significativa para organizações que utilizam LLMs e APIs de IA, com a possibilidade de exploração de dados sensíveis e custos elevados. A identificação de atores específicos e suas táticas fornece uma base para ações preventivas.
💼 IMPACTO DE NEGÓCIO
Financeiro
Custos significativos associados à exploração de recursos computacionais e possíveis vazamentos de dados.
Operacional
Roubo de recursos para mineração de criptomoedas e exfiltração de dados sensíveis
Setores vulneráveis
['Tecnologia', 'Financeiro', 'Saúde']
📊 INDICADORES CHAVE
Mais de 35.000 sessões de ataque registradas
Indicador
Operação monitorada por 40 dias
Contexto BR
Três atores de ameaça identificados na operação
Urgência
⚡ AÇÕES IMEDIATAS
1
Auditar configurações de endpoints de LLM e APIs para garantir que não estejam expostos.
2
Implementar autenticação robusta e monitoramento de acesso para serviços de IA.
3
Monitorar continuamente logs de acesso e atividades em endpoints de IA para detectar comportamentos suspeitos.
🇧🇷 RELEVÂNCIA BRASIL
CISOs devem se preocupar com o impacto financeiro e de reputação que esses ataques podem causar, além da exposição de dados sensíveis.
⚖️ COMPLIANCE
Implicações legais relacionadas à LGPD e proteção de dados.
Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).
