NadMesh、AIとMCPサーバーを標的に20種類以上のリモートコード実行手法を駆使するボットネット

2026年7月上旬に発見されたNadMeshは、コード内で自らを「n4d mesh controller」と名乗り、単発型のワーム攻撃ではなく、長期にわたって段階的に開発され続けているボットネットとして稼働しています。

Go言語で書かれており、スキャン機能、エクスプロイト機能、認証情報窃取機能、そしてAI/MCPサービスに関する情報収集機能を、攻撃者が管理するVPSノードを中心としたメッシュ型インフラに統合しています。

「NadMesh」という名称は、大量のボットを統率し、Webパネルや統計情報、カナリア方式のアップデートを通じて常時可視性を維持するコントローラーコンポーネントに由来します。

エクスプロイトを無差別にばら撒く従来型のワームとは異なり、NadMeshはAIワークロードと新興のMCPエコシステムを明確に狙う、製品化された攻撃基盤のような振る舞いを見せます。

エクスプロイトの成功率、展開の成否、ハニーポット回避といった運用指標を追跡している点からも、場当たり的な破壊行為ではなく投資対効果を最適化する、いわば商用製品的な発想が見て取れます。

NadMeshの中核には、90以上のクラウドプロバイダーのアドレス範囲をあらかじめ組み込んだ自律スキャンエンジンがあり、人手を介さずにボットネットを継続的に拡大できる仕組みになっています。

ボットはHTTP API経由でコントローラーにタスクを要求し、CIDRブロックとポートセットを受け取ります。中央のタスクキューが枯渇した際にはランダムな/24範囲を自ら生成するフォールバック機能も備えており、常に稼働し続ける設計です。

標準のスキャン対象は、Webサービス、Kubernetes、Docker API、データベース、監視システム、AI/MCPエンドポイントに関連する30個のポートに及びます。その中には8188番(ComfyUI)、11434番(Ollama)、5678番(n8n)、7860番(Gradio)が含まれており、これらは明確に優先ターゲットとして扱われています。

この探索レイヤーの上位には、20種類を超えるエクスプロイト手法が存在し、その多くはクラウドおよびAIインフラへの高リスクなリモートコード実行(RCE)経路となっています。

具体的には、execute_commandを呼び出せるMCP JSON‑RPCツールの悪用、hostPathマウントを持つPodを介したKubernetes APIの悪用、ホストネットワークと自動再起動付きコンテナを起動させるDocker APIの悪用、さらにはcron経由での永続化を仕込む古典的なRedisのCONFIG SET dirとSAVEコマンドの組み合わせなどが含まれます。

このほかにも、Elasticsearch、SSH/Telnetの脆弱な認証情報、Jenkinsのスクリプトコンソール、Spring Cloud Gatewayの式言語インジェクション、code‑server、Airflow、Superset、XXL‑Job、WebLogicのデシリアライズ脆弱性などを標的とする攻撃手法も確認されており、これらすべてはコントローラー内の統一された「チェーン」という抽象概念によって、複数段階のエクスプロイト経路としてモデル化・統制されています。

展開の試行が完了すると、エージェントはステータス文字列を報告し、コントローラー側でそれを「成功」「エクスプロイト送信済み」「失敗」「情報収集」のいずれかのカテゴリーに正規化します。この情報は、どれだけのスキャンがエクスプロイトの成功や永続的な侵入拠点の確立につながったかを示すコンバージョンファネルへと集約されます。

展開を繰り返し受け入れながらも成果を出さないホストは、ハニーポットの疑いありとしてフラグを立てられ、自動的にブロックされます。これにより、研究者が管理する罠に労力を無駄に費やすことを避けているとqianxin社は述べています。

補助スクリプトである「ai_harvest.py」は、ComfyUI、Ollama、n8n、Open WebUI、Langflow、Gradioのシグネチャに関してShodanに問い合わせることで、コントローラーに新たなAIターゲットの情報を供給し、その結果を優先度の高い/32単位のスキャンタスクへと変換します。

この仕組みは、成果に基づくタスクの増幅処理や「危険」と判定されたホストへの定期的な再スキャンと組み合わさることで、有望なAI・MCP資産がエクスプロイトされるか、あるいはハニーポットと分類されるまで繰り返し標的にされ続けるフィードバックループを形成しています。

注: 誤ってアクセスまたはハイパーリンク化されることを防ぐため、IPアドレスおよびドメインは意図的に無害化表記(例: [.])としています。再度有効な表記に戻す作業は、MISP、VirusTotal、あるいは自組織のSIEMなど、管理された脅威インテリジェンスプラットフォーム内でのみ行ってください。

より強固なプロアクティブ防御で、重大インシデントと金銭的損失を未然に防ぎましょう。15,000のSOCが利用するライブ脅威フィードを統合

翻訳元: https://cyberpress.org/nadmesh-targets-ai-servers/

ソース: cyberpress.org