P2Pinfect compromet des clusters Kubernetes via Redis exposés pendant 6 mois

🔍 Contexte

Publié le 20 mai 2026 par Akshat Pradhan (FortiGuard Labs / Fortinet), cet article présente une analyse technique approfondie de compromissions persistantes du botnet P2Pinfect détectées dans des clusters Google Kubernetes Engine (GKE) chez plusieurs clients, dont une compromission s’étendant sur six mois.

🎯 Vecteur initial et propagation

Les compromissions ont pour origine des instances Redis exposées et mal configurées. P2Pinfect exploite principalement :

• Des vulnérabilités Redis (dont CVE-2022-0543, sandbox escape Lua)
• La commande SLAVEOF pour transformer des nœuds Redis ouverts en followers
• Un SSH password sprayer basique
• CVE-2025-11953 (Metro4Shell) : RCE non authentifiée dans le serveur de développement React Native Metro, exploitée à partir de novembre 2025
• CVE-2025-49844 (RediShell) : RCE Redis via bypass sandbox Lua, évaluée avec faible confiance comme vecteur potentiel

🛠️ Caractéristiques techniques du malware

• Écrit en Rust, ciblant Linux x86_64, Windows et routeurs
• Binaires packés via UPX
• Architecture peer-to-peer décentralisée résistante au sinkholing
• Communication sur ports non-standard
• Distribution de payloads via URI uniformes (/Linux, /Windows, /IP)
• Argument de lancement encodé en base64, chiffré via ChaCha20 avec clé et nonce nuls (obfuscation décorative)
• Le blob déchiffré contient une nodelist bootstrap (header 2 octets + enregistrements IP:Port)

📦 Script de déploiement identifié

Un nouveau script deployer.sh (MD5: 80676a539765a9e117f20b6b99887eca) a été identifié :

• Télécharge le client P2Pinfect depuis http://8.210.50.65:60126/linux
• Écrit le binaire dans /top/RarF51vUe0 (MD5: 5d1ca537c4bedebf2f4d276d4199ea95)
• Exécute le binaire avec un blob base64 encodé

🔗 Connexion Metro4Shell

Six pairs P2Pinfect partagent un client Linux identique (MD5: a1a35afebb585917675534de3d610c93), liés à l’exploitation active de CVE-2025-11953 entre décembre 2025 et janvier 2026. Un pair Windows (MD5: 08ad2c2877edda9a050b81d011c1c003) a également été identifié. L’exploitation de Metro4Shell aurait débuté le 16 novembre 2025, une semaine après la publication de POCs publics.

💤 Comportement dormant et modèle économique

P2Pinfect opère vraisemblablement comme une plateforme « botnet for hire » : les opérateurs maximisent l’enrôlement, les clients déploient leurs propres payloads de second niveau (ransomware, cryptomineurs). La télémétrie Fortinet n’a détecté aucune exécution de payload de second niveau, cohérent avec des périodes de dormance prolongées documentées.

📊 Campagne parallèle

Quatre nœuds Redis infectés présentaient également des cryptomineurs, attribués à une campagne distincte d’exploitation React2Shell active en décembre 2025.

📄 Nature de l’article

Il s’agit d’une analyse technique publiée par FortiGuard Labs, visant à documenter la chaîne de compromission, les IOCs, les TTPs et l’expansion des vecteurs d’accès initial du botnet P2Pinfect dans les environnements Kubernetes cloud.

🧠 TTPs et IOCs détectés

TTP

• T1190 — Exploit Public-Facing Application (Initial Access)
• T1110.001 — Brute Force: Password Guessing (Credential Access)
• T1059.004 — Command and Scripting Interpreter: Unix Shell (Execution)
• T1027 — Obfuscated Files or Information (Defense Evasion)
• T1027.002 — Obfuscated Files or Information: Software Packing (Defense Evasion)
• T1105 — Ingress Tool Transfer (Command and Control)
• T1571 — Non-Standard Port (Command and Control)
• T1090.001 — Proxy: Internal Proxy (Command and Control)
• T1496 — Resource Hijacking (Impact)
• T1486 — Data Encrypted for Impact (Impact)
• T1543 — Create or Modify System Process (Persistence)
• T1014 — Rootkit (Defense Evasion)

IOC

• IPv4 : 8.210.50.65 — AbuseIPDB · VT · ThreatFox
• IPv4 : 8.218.225.42 — AbuseIPDB · VT · ThreatFox
• IPv4 : 8.210.178.40 — AbuseIPDB · VT · ThreatFox
• IPv4 : 47.86.5.176 — AbuseIPDB · VT · ThreatFox
• IPv4 : 178.62.63.125 — AbuseIPDB · VT · ThreatFox
• IPv4 : 47.237.140.12 — AbuseIPDB · VT · ThreatFox
• IPv4 : 47.83.124.121 — AbuseIPDB · VT · ThreatFox
• IPv4 : 47.86.33.195 — AbuseIPDB · VT · ThreatFox
• URLs : http://8.210.50.65:60126/linux — URLhaus
• MD5 : 80676a539765a9e117f20b6b99887eca — VT · MalwareBazaar
• MD5 : 5d1ca537c4bedebf2f4d276d4199ea95 — VT · MalwareBazaar
• MD5 : a1a35afebb585917675534de3d610c93 — VT · MalwareBazaar
• MD5 : 08ad2c2877edda9a050b81d011c1c003 — VT · MalwareBazaar
• CVEs : CVE-2025-11953 — NVD · CIRCL
• CVEs : CVE-2025-49844 — NVD · CIRCL
• CVEs : CVE-2022-0543 — NVD · CIRCL
• Fichiers : deployer.sh
• Fichiers : RarF51vUe0
• Chemins : /top/RarF51vUe0

Malware / Outils

• P2Pinfect (botnet)

🟢 Indice de vérification factuelle : 90/100 (haute)

• ✅ fortinet.com — source reconnue (liste interne) (20pts)
• ✅ 12833 chars — texte complet (fulltext extrait) (15pts)
• ✅ 19 IOCs dont des hashes (15pts)
• ✅ 3/4 IOCs confirmés (AbuseIPDB, ThreatFox, URLhaus, VirusTotal) (15pts)
• ✅ 12 TTPs MITRE identifiées (15pts)
• ✅ date extraite du HTML source (10pts)
• ⬜ aucun acteur de menace nommé (0pts)
• ⬜ 0/3 CVE(s) confirmée(s) (0pts)

IOCs confirmés externellement :

• 8.210.50.65 (ip) → VT (10/91 détections)
• 8.218.225.42 (ip) → AbuseIPDB (67% confiance, 59 signalements) + VT (14/91 détections)
• 8.210.178.40 (ip) → VT (9/91 détections)

🔗 Source originale : https://www.fortinet.com/blog/threat-research/misconfigured-enrolled-and-dormant-anatomy-of-a-p2pinfect-kubernetes-compromise