Google Kubernetes Engine の Google Kubernetes Engine (GKE) クラスタ内に深く組み込まれた永続的な P2PInfect ボットネット活動。
一部のケースでは、脅威アクターは最大 6 ヶ月間にわたって足がかりを維持していました。初期の侵害は、公開されており設定ミスされた Redis インスタンスに由来し、マルウェアが高度に耐性のあるピア・ツー・ピア インフラストラクチャを静かに確立することを可能にしました。
この観察期間中、ボットネットは主に二次ペイロードを実行せずに継続的なビーコニングに焦点を当てていましたが、P2PInfect は二次ペイロードの実行について悪名高い過去があります。
ボットネットはボットネット・フォー・ハイア・プラットフォームとして機能し、スケールと最大ネットワーク登録に大きく重点を置いています。
感染したノードは、オペレーターがランサムウェアや暗号資産マイナーなどの破壊的な二次ペイロードを配信するクライアントへのアクセスを販売する前に、しばしば完全に休止状態のままです。
歴史的に、P2PInfect は Redis の脆弱性と基本的な SSH パスワード スプレーに依存してターゲット ネットワーク全体に伝播していました。しかし、最近のテレメトリは、その標的化スコープの重大で危険な拡大を示しています。
研究者は、感染した Redis ノードが CVE-2025-11953 を使用してピアと通信しているのを観察しました。これは React Native Metro 開発サーバーの重大な認証不要のリモートコード実行 (RCE) 脆弱性であり、Metro4Shell として広く知られています。
この戦略的転換は 2025 年 11 月ごろに始まり、脆弱性の公開開示と概念実証エクスプロイトのリリースと一致しました。
オペレーターは、追加のボットネット ノードを採用するため、この新しい手段をすぐに武装化しました。
最近開示された Lua サンドボックス エスケープ脆弱性は、グループが以前に悪用した古い欠陥と強い技術的類似性を共有しており、非常にもっともらしい初期アクセス ベクトルとなっています。
この同じ脆弱性ウィンドウ中に、研究者は完全に独立した並列キャンペーンも発見しました。
この別個の操作は React2Shell 脆弱性 (CVE-2025-55182) を積極的に悪用して、公開されたエンタープライズ ノードに直接暗号マイナーをデプロイしました。
コア感染プロセスは、deployer.sh という名前の特定のデプロイメント シェル スクリプトに依存しています。このスクリプトはリモート インフラストラクチャに接続してメイン クライアント バイナリを取得します。次に、大量の base64 エンコードされた引数 BLOB で実行します。
アクティビティを隠すため、マルウェアはこの設定 BLOB を ChaCha20 ストリーム暗号で処理します。
興味深いことに、暗号化キーとノンスの両方はゼロ バイトのみで構成されており、暗号化を本来の暗号化保護ではなく、純粋な装飾的難読化にしています。
このリストにより、新たに感染したマシンが最初の実行時にボットネット メッシュに参加することができます。
この分散型アーキテクチャは意図的に単一障害点を排除し、DNS シンクホーリングなどの従来のネットワーク中断方法を P2PInfect ボットネットに対して非常に効果がなくしています。
翻訳元: https://cyberpress.org/p2pinfect-targets-kubernetes-redis/