https://www.cotillon-de-fete.fr/bonus-casino-acceptant-les-joueurs-belges/
Saturday, July 18, 2026

La nueva botnet NadMesh busca servicios de inteligencia artificial expuestos para claves de nube y tokens de Kubernetes

TecnologíaLa nueva botnet NadMesh busca servicios de inteligencia artificial expuestos para claves de nube y tokens de Kubernetes

Una botnet Go llamada NadMesh apareció a principios de julio buscando servicios de IA expuestos, y el propio panel del operador afirma tener 3.811 claves AWS únicas.

Un recolector Shodan mantiene la cola de escaneo abastecida con ComfyUI, Ollama, n8n, Open WebUI, Langflow y Gradio: los generadores de imágenes, los ejecutores de modelos locales y los creadores de flujos de trabajo que los equipos resisten rápidamente y cortan el firewall tarde.

La información de inteligencia detrás de ese mostrador muestra 47 lances de credenciales y 41 inventarios de modelos en sus últimos 100 registros. Esos inventarios llevan identificadores DeepSeek, GLM y Kimi etiquetados como: nube, lo que sugiere que lo que el catálogo de bots llega más allá de la caja misma.

XLab de QiAnXin publicó un informe el viernes, nombró al malware según la cadena “controlador de malla n4d” en su fuente y tomó una captura de pantalla del panel. Las cifras que contiene son del propio operador, capturadas el 10 de julio, y no concuerdan entre sí.

Un contador que indica 17.700 despliegues en total se encuentra encima de un embudo que afirma 95.700 en las últimas 24 horas. Un mosaico dice 16 bots activos; el siguiente dice 12. El número de credencial es al menos el que dice dos veces. Los propios sensores de XLab dan una medida externa, y tampoco es un recuento de bots: las distintas IP de origen que impulsaron NadMesh permanecieron cerca de cero hasta finales de junio, luego se volvieron verticales en la primera semana de julio a alrededor de 139 por día.

Lo que un bot envía a casa son claves de nube extraídas de variables de entorno, tokens de cuenta de servicio k8s y el contenido de ~/.aws/config, .env y ~/.docker/config.json.

Los investigadores lo expresaron claramente: el operador busca “no el host en sí, sino las credenciales de la nube, los privilegios del clúster de Kubernetes”. El acceso a modelos y las herramientas MCP invocables completan la lista.

MCP encabeza el orden de prioridad de explotación del controlador, por encima de Kubernetes, Docker API y Redis, y los registros vectoriales XLab al lado son una herramienta/llamada JSON-RPC para ejecutar_comando. No se adjunta ningún CVE a esa línea y el informe no lo reclama.

La primera especificación de MCP colocó la autenticación fuera del protocolo central por completo, y el flujo de autorización agregado en marzo de 2025 sigue siendo opcional, según las propias palabras de la especificación. Muchas implementaciones lo omiten. Censys contó 12.520 servicios MCP accesibles en 8.758 direcciones IP al 28 de abril, más de 21.000 al 6 de mayo y aproximadamente 90 anunciaban una herramienta que ejecuta comandos.

En 39 de ellos, la herramienta se llamó ejecutar_command, la llamada exacta en la parte superior de la tabla de NadMesh. Los propios contadores de MCP de la botnet no se concilian: 12.100 servicios de MCP enumerados como explotables, 21 vulnerabilidades de MCP en general y ninguna entre los 100 registros de inteligencia en pantalla.

Luego está lo que XLab realmente vio arrojar. La empresa registró el tráfico de exploits que observó y docker_containers_api_rce se lleva el 30,31 % del mismo, y jenkins_scripttext_rce otro 22,28 %. Las contraseñas débiles de Telnet se llevan el 10,36%, Redis el 8,29%.

mcp_cmd_execute está en el gráfico, por lo que el vector está en el tráfico observado de XLab, pero se encuentra en la cola sin etiquetar debajo de la porción más pequeña que alguien se molestó en etiquetar, en 0,78%. Las etiquetas del gráfico no coinciden con las cadenas de estado del propio controlador, por lo que es la vista de intentos del sensor de XLab, no el libro de éxito del operador.

Por lo tanto, el objetivo de la IA es real en la entrada y en el botín, y la mayor parte del tráfico de exploits todavía se dirige a los sockets Docker y las consolas Jenkins.

El escaneo se retroalimenta. Las subredes que producen visitas se vuelven a muestrear con mayor densidad cada cinco minutos; Las IP marcadas como peligrosas en las últimas 24 horas regresan cada cuarto de hora cuando /32 vuelve a escanear con los puertos AI primero; Un barrido completo arrastra de nuevo a la cima todo lo que ha sido marcado como peligroso en los últimos siete días.

Cualquier objetivo que absorba diez intentos de despliegue sin arrojar ningún resultado se incluye automáticamente en la lista negra como sospechoso de trampa. XLab lo toma como una señal de que el autor sabe que los investigadores están observando. Si la cola se agota, los bots generan un /24 aleatorio y continúan.

Cinco versiones de compilación se ejecutan simultáneamente, once bots en 33.8-GO-TITAN y los rezagados en 30.0. Un punto final canario prepara nuevas compilaciones para una porción de la flota, 5448 respuestas atendidas y 84 024 nulas. Un embudo rastrea las tareas a través de implementaciones en hosts activos.

La propia nota a pie de página del panel es reveladora: el éxito se califica en una lista de resultados permitidos que excluye explícitamente la cosecha de Ollama y AWS. El marcador del operador no cuenta lo que el operador está tomando.

La eliminación está hecha para fallar. El agente persiste de tres maneras a la vez, por lo que, al tirar de uno, los demás lo recuperan. Cada compilación pasa por ofuscación Garble, empaquetado UPX -9 y relleno aleatorio, lo que significa que no hay dos agentes que compartan un hash. El hash de muestra publicado captará esa compilación y perderá el resto.

Si ejecuta algo de esto

La mayor parte de lo que lanza NadMesh está dirigido a servicios expuestos y funcionalidades de administración que se pueden llamar: una API Docker abierta en 2375, una consola de script Jenkins, Redis no autenticado, Telnet débil y contraseñas SSH. Ningún parche cierra ninguno de ellos.

Consígalos detrás de la autenticación o fuera de la Internet pública, comenzando con los cuatro puertos que el trabajo de reexploración coloca primero: 8188 (ComfyUI), 11434 (Ollama), 7860 (Gradio) y 5678 (n8n).

También hay una cola de parches, y no todo es antiguo. El gráfico incluye CVE-2026-39987, el RCE previo a la autenticación en los portátiles Marimo anteriores a la 0.23.0. CISA lo puso en KEV en abril después de que fuera explotado pocas horas después de su divulgación.

Junto a él se encuentra CVE-2026-41176, que permite a una persona que llama no autenticada cambiar rc.NoAuth en servidores rclone RC desde 1.45.0 hasta 1.73.5 que se iniciaron sin autenticación HTTP. Las configuraciones de rclone son credenciales de la nube. Las entradas más antiguas necesitan que se verifiquen sus condiciones antes de que entre en pánico: CVE-2022-22947 con un 6,48% solo afecta si el punto final del Spring Cloud Gateway Actuator está habilitado y expuesto sin seguridad, y CVE-2017-12611 con un 4,15% es la falla de la etiqueta Struts Freemarker.

Luego verifique las rutas de caída:

  • ~/.ssh/authorized_keys, para claves que nadie recuerda haber agregado
  • /dev/shm/.a, /var/tmp/.a, /tmp/.a
  • /etc/cron.d/.sys_monitor, /etc/cron.d/.s

Si surge algo de eso, aísle el host y revoque todas las credenciales que pueda ver de inmediato: claves de AWS, tokens de clúster, contenidos .env, inicios de sesión de registro. Revocar no es rotar. Tire de la persistencia antes de emitir reemplazos, o las nuevas claves seguirán el mismo camino que las antiguas.

Luego revise dónde se usaron los antiguos mientras estaban activos. Los indicadores de XLab son un C2 en 209.99.186(.)235, el dominio cdnorigin(.)net y una muestra de agente, SHA1 31c69b3e12936abca770d430066f379ec1d997ec.

Hacker News cubrió a un operador diferente que trabajaba con la misma clase objetivo en abril: Censys había descubierto que cultivaba ComfyUI expuesto para la minería GPU, Monero y Conflux, además de un nodo proxy Hysteria para reventa. Tres meses después, NadMesh barre una red mucho más amplia, pero ComfyUI y Docker expuestos en 2375 se encuentran en ambas listas de objetivos.

Lo que cambió es la recompensa: el operador de abril quería la GPU y NadMesh quiere aquello en lo que la caja puede iniciar sesión. Censys finalizó su censo de MCP con una suposición del resultado menos malo para todas esas herramientas de shell expuestas, y el host terminó siendo “parte de alguna futura botnet o infraestructura de abuso”. Eso fue el 27 de mayo. XLab publicó una botnet con mcp_cmd_execute en su tabla de exploits siete semanas después.

Artículos más populares