Sysdigのフォレンジック専門家は、悪意のあるネットワークを制御する異常なコマンド構造を検出しました。その中で、攻撃者は命令と制御操作に従来のHTTPやインスタントメッセージングチャネルを放棄しました。代わりに、オペレータはNATS(通常クラウドエンジニアが分散マイクロサービスアーキテクチャ用に使用する高性能メッセージングプラットフォーム)を悪用しました。この前例のない実装はNATS-as-C2と指定されています。
この侵入はLangflowプラットフォーム内のCVE-2026-33017の悪用に確実にリンクされており、これは認証なしのリモートコード実行欠陥であり、すでに米国サイバーセキュリティおよびインフラストラクチャセキュリティ庁(CISA)が管理する既知の悪用される脆弱性カタログに登録されています。侵入サイクル中、IPアドレス159.89.205.184から操作している攻撃者は、Pythonモジュールとgoベースのバイナリを侵害されたサーバにステージングし、その後DirtyPipeとDirtyCredsの遺産的な悪用ベクトルを使用してコンテナブレークアウトを試みました。
この操作の特徴は、45.192.109.25:14222でリッスンしている一元化されたNATSクラスタであり、オペレータはこれを通じて侵害されたノードのフリートを調整しました。通信ファブリックは厳密な認証とアクセス制御リスト(ACL)を実施しました。その結果、侵害されたエンドポイントは実行テレメトリとハートビート信号のみを送信でき、隣接するノードのコマンドキューから構造的に分離されたままでした。このデザインはボットネット乗っ取り試行を大幅に複雑にし、単一の侵害されたサーバが悪意のあるネットワーク全体を明らかにするのを防止します。
悪意のあるフレームワークはKeyHunterというニックネームで追跡されています。プラットフォームの主な目的は、クラウド認証情報と人工知能APIキーの体系的な収集と検証です。配置されたPythonモジュールは、CodePen、JSFiddle、StackBlitz、CodeSandboxを含む開発者が好む公開フロントエンドサンドボックスからトークンをスクレイピングするように設計されており、エンジニアが一時的なテストリポジトリ内でOpenAI、Anthropic、Amazon Web Services、およびその他のベンダーの機能的なキーを頻繁に放棄するという前提で動作しています。
潜在的なトークンを分離すると、ソフトウェアはすぐにその実行可能性を検証しました。Amazon Web Servicesの場合、インプラントはsts:GetCallerIdentityルーチンを呼び出して、侵害されたキーのアイデンティティと特権レベルを確認しました。人工知能プロバイダーの場合、ユーティリティはモデルベンダーのAPIを直接クエリしました。この方法論を通じて、オペレータは従来のクラウドインフラストラクチャとプレミアム生成AIシステムの並列的な支配を確保しました。
運用ログは、KeyHunterペイロードをデプロイする前に、攻撃者が異なるアプリケーション層全体で認証情報収集に約10時間を費やしたことを示しています。攻撃者は最初にLMDeployとLiteLLMの公開インスタンスを列挙してから、Langflowにピボットしました。CVE-2026-33017の悪用に成功した後、オペレータは実行中のプロセスの環境変数をダンプし、AWS_ACCESS_KEY_IDおよびAWS_SECRET_ACCESS_KEYを流出させました。
その後、攻撃者はAmazonのWebサービスに対して大量のプログラムクエリを開始し、Bedrock、S3、EC2、Lambda、ECS、およびSageMakerをプローブしました。オペレータはAmazon Bedrockモデルに対して強い焦点を示し、違法なキーを悪用して被害者の費用で大規模言語モデルを実行しようとしました。これはLLMジャッキングとして構造的に定義されている技術であり、侵入者がプレミアムで計算集約的なAIリソースを効果的に盗みます。
Goバイナリの詳細な分析により、KeyHunter開発者はペリメータセキュリティコントロールを回避するためにかなりのエンジニアリング努力を投資したことが明らかになりました。インプラントはuTLSライブラリを統合して、Chrome、Firefox、Safari、および現代のモバイルブラウザのTLSフィンガープリントをリアルに模擬し、Cloudflareおよび隣接するコンテンツ配信ネットワークによってデプロイされたボット検出メカニズムを正常に回避しました。
さらに、アーキテクチャは自動化されたヘッドレスブラウザオーケストレーションをサポートして動的でクライアント側でレンダリングされたレイアウトをスクレイピングし、特定のプラットフォーム向けにカスタマイズされた数十の異なるデータ抽出テンプレートを保持していました。開発者は各ターゲットサービスの冗長なフォールバックを構築して、ベンダーのWebサイトインターフェイスへの表面的な構造変更がユーティリティの収集サイクルを損なわないようにしました。
初期化スクリプトはkeyhunter-workerデーモンをsystemd内の永続サービスとして確立し、システム再起動後も存続するようにしました。逆に、脅威アクターはオペレーショナルステルスに対する注目すべき無関心を示しました。Sysdig分析者は、オペレータが安価で一時的な仮想プライベートサーバに依存していると推測し、複雑なアンチフォレンジック隠蔽メカニズムのオーバーヘッドを放棄することを選択しました。
Sysdigは管理者に対して、CVE-2026-33017を中和するメディエーション版へのLangflowインストールのアップグレード、インジケータ45.192.109.25:14222および159.89.205.184:8888へのすべてのネットワーク接続のブロック、および脆弱なLangflow環境内に存在した可能性のあるすべてのAWS、OpenAI、Anthropic、およびHuggingFaceトークンの包括的なローテーションを強く促しています。
分析者は、NATS-as-C2がボットネットアーキテクト間の発展途上のトレンドを予示する可能性があると結論付けています。NATSはネイティブに堅牢な認可マトリックス、復元力のあるメッセージキューイング、およびシームレスな水平スケーリングをボックスから提供するため、敵対者は複雑でカスタムコマンドおよびコントロールソフトウェアをゼロから構築する負担を負わなくなりました。
