Aanvallers hebben een aan het internet blootgestelde LiteLLM-gateway met toegang tot Amazon Bedrock gekaapt en ingezet voor cryptomining, ontdekte beveiligingsbedrijf Darktrace, nadat de server via een open SSH-poort onder een golf van inlogpogingen kwam.
Dat verschuift hoe je naar zo'n gateway moet kijken. Een AI-gateway bundelt je API-sleutels, cloud-rechten en modeltoegang tot één centraal punt, zodat een routineuze inbraak op die machine meteen op een geprivilegieerd systeem landt. Voor een Nederlands bedrijf dat generatieve AI in productie draait is de rekening dan niet je gestolen data, maar je cloudfactuur: de gekaapte server delfde Monero en trok zo je rekenkracht leeg, terwijl de aanvaller ondertussen probeerde de toegangsrechten van de gateway uit te buiten.
De aanvalsketen: van open SSH-poort naar Monero-miner
De besmette machine was een Amazon EC2-server met LiteLLM-Proxy, een populaire open-source AI-gateway, die was ingericht met toegang tot Amazon Bedrock. Het probleem zat niet in de code, maar in de blootstelling: de SSH-poort (22) stond open voor het hele internet (0.0.0.0/0) en kreeg een zware golf brute-force-pogingen te verwerken.
De exacte succesvolle inbraak bleef onbevestigd, maar het gedrag daarna was onmiskenbaar. Op 12 juni 2026 haalde de server via HTTP een bestand van 3,42 MB binnen met daarin XMRig, een bekende Monero-miner, verpakt in een zip-archief. Minuten later maakte de machine herhaaldelijk verbinding met een mining-pool over HTTPS-poort 443: de gekaapte gateway draaide een cryptominer in plaats van data te stelen.
Een dag later dook een tweede signaal op. Vanaf een IP-adres in Vietnam voerde een apart IAM-account via de AWS-commandoregel acties uit die het in maanden niet had gedaan, met mislukte pogingen om Bedrock-modellen op te sommen en aan te roepen, en zelfs een poging om een nieuw gebruikersaccount aan te maken. De aanvaller tastte dus de geprivilegieerde IAM-rol van de gateway af. Data werd niet buitgemaakt en de modeltoegang niet succesvol misbruikt; de concrete schade was gekaapte compute.
Waarom een AI-gateway een geliefd doelwit is
Een gateway is aantrekkelijk juist omdat hij zo handig is: één adres waarachter al je AI-verkeer, sleutels en cloud-rechten samenkomen. Precies dat maakt hem tot een knooppunt waar één overname veel oplevert. Het past in een patroon dat zich dit jaar telkens herhaalt, waarin elke laag van je AI-stack, van gateway tot plugin, een actief aanvalspad is geworden.
Het verschil met eerdere incidenten zit in de route. Eerder deze maand ging het om drie gekoppelde lekken in LiteLLM waarmee gewone gebruikers admin-rechten en code-uitvoering op de gateway kregen, een kwetsbaarheid in de software zelf. Hier was de software niet het gat, maar de inrichting: een instance die zonder afscherming aan het internet hing. Beide komen op hetzelfde neer, namelijk een gateway die de zwakste schakel in het netwerk werd.
Wat dit betekent voor je eigen stack
Darktrace trekt er een duidelijke les uit: behandel je AI-infrastructuur als onderdeel van je kritieke aanvalsoppervlak, niet als een losstaande applicatielaag. Concreet is dat de basishygiëne die je op de rest van je productiesystemen toepast: geen SSH open voor het hele internet, de gateway achter een reverse proxy en van het publieke net af, en actieve monitoring op de IAM-rollen en afwijkende verbruikspieken. Dat is precies de aanpak om je zelfgehoste AI-gateway van standaardinstellingen naar productie-veilig te tillen, in plaats van de demo-configuratie te laten staan.
De bredere verschuiving is dat AI-infrastructuur stilletjes productie-infrastructuur is geworden. Een gateway die je 'even snel' opzette om modellen te routeren, heeft toegang tot je cloud-budget, je sleutels en je data, en verdient daarmee dezelfde aandacht als je database of je betaalsysteem. Wie dat nog als een apart, jong hoekje van de stack behandelt, ontdekt de rekening pas als de compute al maanden voor iemand anders draait.
Veelgestelde vragen
Je AI-infra veilig neerzetten
Een AI-gateway die crypto delft omdat een poort openstond, is geen toeval maar een inrichtingskeuze. Ik denk mee, ontwerp en bouw je AI-stack end-to-end, met toegangsrechten, isolatie en monitoring die vanaf dag één kloppen, self-hosted waar dat kan.
Dit artikel is geproduceerd samen met het Agent Team. Meer over de redactie.
