Securityonderzoekers van Sysdig waarschuwen dat aanvallers met hulp van grote taalmodellen razendsnel AWS-omgevingen kunnen overnemen. Hun nieuwste analyse laat zien hoe AI nu al wordt ingezet om cloudaanvallen te automatiseren, te versnellen en moeilijker detecteerbaar te maken.
Het Sysdig Threat Research Team baseert die conclusies op een aanval die startte op 28 november 2025. In dit geval wist een aanvaller in minder dan tien minuten van initiële toegang naar volledige beheerdersrechten te gaan binnen een AWS-account. De onderzoekers reconstrueerden de volledige aanvalsketen en koppelden daar concrete detectie- en mitigatieadviezen aan voor organisaties die hun cloudomgeving beter willen beschermen.
De aanval begon met inloggegevens die waren achtergelaten in publiek toegankelijke S3-buckets. Die buckets bevatten RAG-data voor AI-modellen en waren gekoppeld aan een IAM-gebruiker met voldoende rechten op Lambda om misbruikt te worden. De aanvaller gebruikte die rechten om de code van een bestaande Lambda-functie aan te passen. De nieuwe code genereerde toegangssleutels voor een admin-gebruiker en gaf deze direct terug via de Lambda-response.
Volgens Sysdig wijst de opbouw van de kwaadaardige code, inclusief Servische commentaarregels en uitgebreide foutafhandeling, sterk op gebruik van een LLM. Doordat de Lambda-functie draaide met een execution role met vergaande rechten, kon de aanvaller indirect administratieve privileges verkrijgen zonder een traditionele privilege-escalatie via IAM-rollen.
Aanvaller verspreidt toegang over groot aantal principals
Vervolgens bewoog de aanvaller zich lateraal door het account. In totaal werden negentien verschillende AWS-principals gebruikt, waaronder bestaande IAM-gebruikers waarvan nieuwe toegangssleutels werden aangemaakt. Ook werd een nieuwe admin-gebruiker toegevoegd om de toegang persistent te maken. Opvallend is dat de aanvaller probeerde rollen aan te nemen in accounts die niet tot de organisatie behoorden, wat volgens de onderzoekers past bij patronen die worden gezien bij AI-gegenereerde acties.
Daarna verschoof de aandacht naar Amazon Web Services-dienst Amazon Bedrock. De aanvaller controleerde eerst of model-logging actief was en begon vervolgens meerdere AI-modellen aan te roepen. Dit past in een aanvalstechniek die Sysdig eerder aanduidde als LLMjacking, waarbij cloudmodellen worden misbruikt voor eigen doeleinden. Er werd zelfs een Terraform-script geüpload dat een publieke Lambda-backdoor zou kunnen uitrollen om Bedrock-credentials te genereren.
In een latere fase probeerde de aanvaller zware GPU-instances te starten voor machine learning workloads. Uiteindelijk werd een kostbare p4d-instance opgestart met een publiek toegankelijke JupyterLab-server als alternatieve toegangspoort. Het installatiescript bevatte verwijzingen naar een niet-bestaande GitHub-repository, opnieuw een aanwijzing dat een taalmodel werd gebruikt bij het samenstellen van de aanval.
Volgens Sysdig laat deze casus zien hoe het dreigingslandschap verandert. Aanvallers hoeven niet langer diepgaande kennis van een omgeving te hebben als een taalmodel kan helpen bij het genereren van scripts, het uitvoeren van verkenning en het nemen van beslissingen in realtime. Het rapport benadrukt dat organisaties scherp moeten letten op ongebruikelijke modelaanroepen, massale enumeratie van resources en het misbruik van Lambda-rechten.
De onderzoekers concluderen dat AI niet alleen een hulpmiddel is voor verdedigers, maar inmiddels ook een krachtig wapen in handen van aanvallers.