新たなNadMeshボットネット、20以上のRCE攻撃経路でAI・MCPインフラを乗っ取る

NadMeshは、20を超えるRCE(リモートコード実行)攻撃経路を武器化してAI・MCPインフラを大規模に乗っ取る、新種の産業グレードGo言語製ボットネットです。自律スキャン、エクスプロイト配信、認証情報収集を単一の閉ループ型プラットフォームに統合しています。

2026年7月上旬、研究者らはNadMeshを、インターネットに公開されたクラウドおよびAIサービス全体に積極的にボットエージェントを展開する大規模Go言語製ボットネットとして特定しました。

このマルウェアはソースの成果物内で自身の制御層を「n4d mesh controller」と名乗っており、これを受けて調査担当者はこのファミリーを「NadMesh」と命名し、一般的なDDoS集団ではなくAI/MCP特化型ボットネットに分類しています。

アンチウイルス&マルウェア

NadMeshの戦略的な狙いは明確です。AIインフラを掌握し、MCPエコシステムを侵害し、クラウド認証情報と実行権限を収益化することであり、これはAI中心のボットネット運用やMCPツールポイズニング攻撃の最近の動向と軌を一にしています。

NadMeshには90を超えるクラウドサービスプロバイダーのアドレス範囲があらかじめ組み込まれた自律スキャナーが搭載されており、ハイパースケーラーからニッチなクラウド環境まで、無人での継続的な拡大侵入を可能にしています。

このボットネットが狙うポート群は30のサービスにまたがり、Web管理、Kubernetes(API、kubelet、etcd)、Docker API、Redis、Elasticsearch、SSH/Telnet、さらにComfyUI、Ollama、n8n、GradioといったAIフロントエンドも含まれます。中でもAIサービスは最優先の標的として明示的に位置付けられています。

これに加えて、コントローラーは20を超えるRCE攻撃経路を有しており、MCPのJSON-RPCコマンド実行やKubernetesのPodエスケープから、Dockerコンテナの悪用、Redisの永続化機構の悪用、Elasticsearchのスクリプト機能を利用したRCE、さらにWebLogicのデシリアライゼーション、Jenkinsのスクリプトコンソール、Airflow・Supersetといったダッシュボードフレームワークなど、従来型のミドルウェアの脆弱性まで多岐にわたります。

NadMeshの攻撃連鎖は、攻撃者のVPSを基点とする閉ループ型プラットフォームとして実装されており、「情報収集」「制御」「供給」「構築」「配信」の5段階で構成されています。

情報収集はAI特化型のハーベスターに委ねられており、Shodan APIを使ってComfyUI、Ollama、n8n、Open WebUI、Langflow、Gradioの各エンドポイントを列挙し、最優先でスキャンキューに投入します。これはAIインフラを標的とする明確な意図を示すものです。

XLabの研究者らが2026年7月に観測したところによると、このキャンペーンは従来型の民生用IoTではなく、クラウドAIスタック、MCPツール群、公開された各種オーケストレーションサービスに焦点を当てて急速に進化しているとのことです。

Go言語製のコントローラー(controller_go.go)はポート80/8443で待ち受け、ボットの登録、CIDR+ポートのタスクバンドルの配信、エクスプロイトおよび認証情報のテレメトリの取り込みを行うほか、コンバージョンファネル、展開統計、稼働状況を確認できる本格的なWebパネルを/panelに公開しており、継続的な商用運用を想定した設計になっています。

Image

NadMeshの「供給」側は4種のスクリプトによって完全に自動化されており、高収率のセグメントを増幅させ、「危険な」IPを継続的に再投入し、実績のある侵害可能ホストを再スキャンし、ハニーポットの疑いがあるものを自動的にブラックリスト化して管理しています。

新たなNadMeshボットネット

このフィードバックループの仕組みは明快です。展開に成功したセグメントはタスク投入によって増幅される一方、非生産的な展開を繰り返すIPは調査機関のインフラとしてフラグ付けされ抑制対象になります。これは、運用者がセキュリティ監視やサンドボックスの存在を認識していることを示しています。

同時に、多態型のビルドパイプライン(build_agent.sh)はGarbleによる難読化、UPX-9による圧縮、ランダムなパディングを活用し、それぞれ固有のハッシュ値を持つエージェントを生成することで、Linux群やクラウドノード全体での単純なシグネチャベースの検知を妨げています。

被害を受けたホスト上では、NadMeshのエージェントは「二重防御」と呼べる永続化を確立します。これはSSH公開鍵によるバックドアの埋め込み、複数経路のディスク常駐型ローダー、そしてCronベースの監視タスクという3つの仕組みで連携しており、いずれか1つの痕跡が削除されてもボットを復活させる仕組みになっています。

各エージェントは30ポートの偵察、バナー情報によるサービス識別、RCEの実行、内部ネットワークのスキャン、認証情報の窃取、そして同一セグメント内でのP2Pビーコン通信を行い、中央からの指示なしに横方向への拡散を可能にしています。

報告書の構成からは、このボットネットの真の狙いが浮かび上がります。すなわちクラウドのアクセスキー、クラスタ管理者権限を持つKubernetesのサービスアカウント、そして任意のSQLやシェル実行が可能なMCPツールです。

OpenAIやBedrockといった高価値プロバイダーに紐づくAIモデルのエンドポイントも標的となっており、新たに顕在化しつつあるMCPポイズニングやAIサプライチェーン攻撃の攻撃対象領域と直接重なっています。

Image

NadMeshの出現は、MCPのコマンドインジェクションやツールポイズニングの脆弱性が積極的に文書化されつつあるタイミングと重なっています。侵害されたMCPサーバーが汎用的なエージェント用バックドアへと転用され得ることを詳述する勧告なども含まれます。

脆弱性スキャンツール

設定不備のあるMCPインスタンスに対するJSON-RPCコマンド実行を、広範なボットネットのリーチと自動化された認証情報収集の仕組みと連鎖させることで、

NadMeshはAIオーケストレーションスタックを被害者であると同時に増幅装置にも変えてしまいます。これは、AIインフラが自律的なエクスプロイトによってそれ自体を乗っ取られる様子を示した過去の研究とも呼応する結果です。

AIプラットフォーム、MCPゲートウェイ、クラウドネイティブスタックの運用者にとって、NadMeshは短命なワームの発生ではなく、明確な投資対効果重視の設計を備えた長期的に進化し続けるマルウェアファミリーとして扱うべきであり、パッチ適用と検知戦略の両面で優先的に対応する必要があります。

𝗔𝗜 𝗦𝗢𝗖 𝘃𝘀 𝗠𝗗𝗥 𝘃𝘀 𝗠𝗦𝗦𝗣 2026年に最適なのはどれか? コスト、自動化、対応力を比較: 無料ガイドをダウンロード

翻訳元: https://gbhackers.com/new-nadmesh-botnet/

ソース: gbhackers.com