Kubernetes : escalade de privilèges via vol de tokens et exploitation de CVE-2025-55182

🔍 Contexte

Publié le 6 avril 2026 par Unit 42 (Palo Alto Networks), cet article de recherche analyse l’évolution des menaces ciblant les environnements Kubernetes en 2025-2026. La télémétrie de l’éditeur révèle une augmentation de 282% des opérations liées au vol de tokens Kubernetes sur un an, avec le secteur IT représentant 78% des activités observées.

📊 Cas 1 : Vol de tokens et mouvement latéral dans une plateforme crypto

Mi-2025, Unit 42 documente une intrusion dans une bourse de cryptomonnaies attribuée au groupe nord-coréen Slow Pisces (alias Lazarus, TraderTraitor). L’attaque suit le schéma suivant :

• Spearphishing ciblant un développeur pour obtenir une session cloud active
• Déploiement d’un pod malveillant dans le cluster Kubernetes de production pour exposer le service account token monté
• Récupération d’un token appartenant à un compte de service hautement privilégié (CI/CD)
• Authentification directe à l’API Kubernetes, énumération des secrets, déploiement d’un backdoor persistant
• Mouvement latéral vers l’infrastructure cloud backend et vol de fonds en cryptomonnaies

Ce groupe est également lié au hack Bybit (février 2025, ~1,5 milliard USD en ETH volés) et à l’intrusion sur BitoPro (mai 2025, Taiwan).

💥 Cas 2 : Exploitation de React2Shell (CVE-2025-55182)

Divulguée le 3 décembre 2025, la vulnérabilité CVE-2025-55182 (désérialisation non sécurisée dans le protocole React Server Components Flight) a été exploitée dès le 5-7 décembre 2025. Les attaquants ont :

• Exécuté du code arbitraire dans des conteneurs applicatifs exposés via ingress controllers
• Extrait des tokens de service account, variables d’environnement et credentials cloud
• Installé des backdoors (dont un se faisant passer pour Vim)
• Déployé des cryptomineurs et volé des credentials de bases de données
• Pivoté vers les comptes cloud sous-jacents (AWS, GCP, Azure)

🛠️ Outillage et TTPs observés

• Peirates (S0683) : framework Go open-source utilisé par SCARLETEEL et TeamTNT pour l’énumération de clusters
• TeamPCP (PCPcat, ShellForce, DeadCatx3) : worm utilisant proxy.sh pour détecter les environnements Kubernetes et kube.py pour harvester les credentials
• VoidLink : framework C2 IA-généré avec plugin k8s_privesc_v3 ciblant /var/run/secrets/ pour exploitation multi-cloud
• Techniques MITRE : T1190 (Exploit Public-Facing Application), T1528 (Steal Application Access Token), S0683 (Peirates)

📈 Données de télémétrie

• 22% des environnements cloud en 2025 ont présenté une activité suspecte liée au vol de tokens
• Pic d’alertes Kubernetes en décembre 2025 directement lié à CVE-2025-55182

📄 Nature de l’article

Il s’agit d’une publication de recherche technique par Unit 42, combinant analyse de cas réels, cartographie MITRE ATT&CK, indicateurs de compromission et stratégies de détection pour les équipes défensives.

🧠 TTPs et IOCs détectés

Acteurs de menace

• Slow Pisces (state-sponsored) — orkl.eu
• SCARLETEEL (cybercriminal) — orkl.eu · Malpedia
• TeamTNT (cybercriminal) — orkl.eu · Malpedia · MITRE ATT&CK
• TeamPCP (cybercriminal) — orkl.eu · Malpedia

TTP

• T1190 — Exploit Public-Facing Application (Initial Access)
• T1528 — Steal Application Access Token (Credential Access)
• T1552.001 — Unsecured Credentials: Credentials In Files (Credential Access)
• T1552.007 — Unsecured Credentials: Container API (Credential Access)
• T1552.005 — Unsecured Credentials: Cloud Instance Metadata API (Credential Access)
• T1613 — Container and Resource Discovery (Discovery)
• T1609 — Container Administration Command (Execution)
• T1610 — Deploy Container (Defense Evasion)
• T1611 — Escape to Host (Privilege Escalation)
• T1078.001 — Valid Accounts: Default Accounts (Defense Evasion)
• T1134 — Access Token Manipulation (Privilege Escalation)
• T1098.006 — Account Manipulation: Additional Container Cluster Roles (Persistence)
• T1059.004 — Command and Scripting Interpreter: Unix Shell (Execution)

IOC

• IPv4 : 104.238.149.198 — AbuseIPDB · VT · ThreatFox
• IPv4 : 45.76.155.14 — AbuseIPDB · VT · ThreatFox
• IPv4 : 23.235.188.3 — AbuseIPDB · VT · ThreatFox
• URLs : http://104.238.149.198:12349/BVN0VEdddye5odDFVR — URLhaus
• URLs : http://45.76.155.14/vim — URLhaus
• SHA256 : 05eac3663d47a29da0d32f67e10d161f831138e10958dcd88b9dc97038948f69 — VT · MalwareBazaar
• SHA256 : 7d2c9b4a3942f6029d2de7f73723b505b64caa8e1763e4eb1f134360465185d0 — VT · MalwareBazaar
• SHA256 : bb470a803b6d7b12fb596d2e4a18ea9ca91f40fd34ded7f01a487eed9a1d814d — VT · MalwareBazaar
• CVEs : CVE-2025-55182 — NVD · CIRCL
• Fichiers : proxy.sh
• Fichiers : kube.py
• Chemins : /var/run/secrets/kubernetes.io/serviceaccount/token
• Chemins : /var/run/secrets/

Malware / Outils

• Peirates (framework)
• VoidLink (framework)
• TeamPCP (other)
• PCPcat (other)
• ShellForce (other)
• DeadCatx3 (other)
• kube.py (tool)
• proxy.sh (tool)

🟢 Indice de vérification factuelle : 95/100 (haute)

• ✅ unit42.paloaltonetworks.com — source reconnue (liste interne) (20pts)
• ✅ 43122 chars — texte complet (fulltext extrait) (15pts)
• ✅ 13 IOCs dont des hashes (15pts)
• ✅ 6/8 IOCs confirmés (AbuseIPDB, MalwareBazaar, ThreatFox, URLhaus, VirusTotal) (15pts)
• ✅ 13 TTPs MITRE identifiées (15pts)
• ✅ date extraite du HTML source (10pts)
• ✅ acteur(s) identifié(s) : Slow Pisces, SCARLETEEL, TeamTNT (5pts)
• ⬜ 0/1 CVE(s) confirmée(s) (0pts)

IOCs confirmés externellement :

• 104.238.149.198 (ip) → VT (6/94 détections)
• 45.76.155.14 (ip) → VT (12/94 détections)
• 23.235.188.3 (ip) → VT (12/94 détections) + ThreatFox (Cobalt Strike)
• 05eac3663d47a29d… (sha256) → VT (37/77 détections)
• 7d2c9b4a3942f602… (sha256) → VT (26/77 détections)

🔗 Source originale : https://unit42.paloaltonetworks.com/modern-kubernetes-threats/?utm_source=newsletter.erreur403.fr&utm_medium=newsletter&utm_campaign=erreur-403-71-une-nouvelle-vulnerabilite-zero-day-exploitee-chez-fortinet