P2Pinfect compromet des clusters Kubernetes via Redis exposés pendant 6 mois

Wed, 27 May 2026 00:00:00 +0000

🔍 Contexte

Publié le 20 mai 2026 par Akshat Pradhan (FortiGuard Labs / Fortinet), cet article présente une analyse technique approfondie de compromissions persistantes du botnet P2Pinfect détectées dans des clusters Google Kubernetes Engine (GKE) chez plusieurs clients, dont une compromission s’étendant sur six mois.

🎯 Vecteur initial et propagation

Les compromissions ont pour origine des instances Redis exposées et mal configurées. P2Pinfect exploite principalement :

Des vulnérabilités Redis (dont CVE-2022-0543, sandbox escape Lua)
La commande SLAVEOF pour transformer des nœuds Redis ouverts en followers
Un SSH password sprayer basique
CVE-2025-11953 (Metro4Shell) : RCE non authentifiée dans le serveur de développement React Native Metro, exploitée à partir de novembre 2025
CVE-2025-49844 (RediShell) : RCE Redis via bypass sandbox Lua, évaluée avec faible confiance comme vecteur potentiel

🛠️ Caractéristiques techniques du malware

Écrit en Rust, ciblant Linux x86_64, Windows et routeurs
Binaires packés via UPX
Architecture peer-to-peer décentralisée résistante au sinkholing
Communication sur ports non-standard
Distribution de payloads via URI uniformes (/Linux, /Windows, /IP)
Argument de lancement encodé en base64, chiffré via ChaCha20 avec clé et nonce nuls (obfuscation décorative)
Le blob déchiffré contient une nodelist bootstrap (header 2 octets + enregistrements IP:Port)

📦 Script de déploiement identifié

Un nouveau script deployer.sh (MD5: 80676a539765a9e117f20b6b99887eca) a été identifié :

RediShell on CyberVeille

P2Pinfect compromet des clusters Kubernetes via Redis exposés pendant 6 mois

🔍 Contexte

🎯 Vecteur initial et propagation

🛠️ Caractéristiques techniques du malware

📦 Script de déploiement identifié