Tussen december 2025 en januari 2026 ontdekten securityonderzoekers een verontrustende evolutie in AI-gerichte cyberdreigingen. Honeypots registreerden 35.000 aanvalssessies gericht op blootgestelde AI-infrastructuur, met een gemiddelde van 972 aanvallen per dag.
De campagne, ontdekt door Pillar Security Research Team, kreeg de naam Operation Bizarre Bazaar. Het vormt de eerste publieke documentatie van een systematische campagne gericht op blootgestelde LLM- en Model Context Protocol (MCP)-endpoints op grote schaal, met complete commerciële monetisatie. Het onderzoek onthult hoe cybercriminelen ongeautoriseerde toegang tot AI-infrastructuur ontdekken, valideren en te gelde maken via een gecoördineerde supply chain.
De campagne omvat drie onderling verbonden dreigingsactoren. Een scanner-infrastructuur zoekt systematisch naar blootgestelde AI-endpoints. Vervolgens valideert infrastructuur gekoppeld aan silver.inc de endpoints via API-testing. Tot slot opereert silver.inc als commerciële marktplaats die tegen gereduceerde prijzen toegang doorverkoopt tot meer dan 30 LLM-providers zonder legitieme autorisatie. De service draait op bulletproof-infrastructuur in Nederland en verkoopt via Discord en Telegram tegen betaling in cryptocurrency en PayPal.
Van discovery tot commerciële exploitatie
Het aanvalsvolume bevestigt systematische targeting van blootgestelde AI-infrastructuur. Veelvoorkomende misconfiguraties die actief geëxploiteerd worden: Ollama draaiend op poort 11434 zonder authenticatie, OpenAI-compatibele API’s op poort 8000 blootgesteld aan internet, MCP-servers toegankelijk zonder toegangscontroles en productie chatbot-endpoints zonder authenticatie of rate limiting.
De aanvallers gissen niet. Ze gebruiken Shodan en Censys om endpoints te vinden. Zodra een endpoint verschijnt in scanresultaten, beginnen exploitatiepogingen binnen uren. De OWASP Top 10 voor Large Language Models 2025 identificeert prompt injection en sensitive information disclosure als primaire risico’s bij LLM-applicaties.
De operatie werd getraceerd naar een dreigingsactor onder de alias “Hecker”, ook bekend als Sakuya en LiveGamer101. Het beheerpaneel op admin.silver.inc toont “Hiii I’m Hecker”, er is infrastructuuroverlap met nexeonai.com dat eerder publiekelijk beschuldigd werd van DDoS-aanvallen tegen concurrenten, gedeelde Cloudflare nameservers en DMARC-records tussen silver.inc en nexeonai.com, en bulletproof hosting met duizenden abuse reports.
MCP-servers als laterale bewegingspunten
Naast Operation Bizarre Bazaar signaleert Pillar Security een aparte campagne gericht op Model Context Protocol-endpoints. Tegen eind januari kwam 60 procent van het totale aanvalsverkeer van MCP-gerichte verkenningsoperaties, wat een separate dreigingsactor met andere doelstellingen vertegenwoordigt.
MCP-servers bieden LLM-toegang én verbinden AI met interne infrastructuur. Denk aan bestandssystemen om broncode te lezen en backdoors te plaatsen, databases om credentials te dumpen en klantdata te exfiltreren en shell-toegang voor het uitvoeren van commando’s op hostsystemen.
Een enkele blootgestelde MCP-endpoint kan dan ook een brug vormen naar de volledige interne infrastructuur. De systematische MCP-verkenning vertegenwoordigt een aparte campagne gericht op voorbereiding voor laterale beweging, los van de silver.inc marktplaatsoperatie.
Risico’s overstijgen compute-diefstal
LLMjacking-operaties presenteren risico’s die verder gaan dan ongeautoriseerd API-gebruik. Compute-diefstal betekent dat infrastructuur inkomsten genereert voor criminelen. silver.inc verkoopt toegang tegen 40-60 procent korting door terwijl organisaties volledige retailprijzen betalen voor ongeautoriseerd gebruik.
Data-exfiltratie via LLM-contextvensters kan gevoelige organisatiedata bevatten, zoals gespreksgeschiedenis, klantinformatie en broncode. Blootgestelde MCP-servers worden punten waar aanvallers LLM-integraties gebruiken om door bestandssystemen te navigeren, databases te bevragen en cloud-API’s te benaderen.
Tip: Zscaler lanceert AI Security Suite voor beveiligen AI-apps