Уязвимые Redis-серверы помогли ботнету P2Pinfect закрепиться в облачных кластерах Google на полгода

Специалисты FortiGuard Labs обнаружили длительное присутствие ботнета P2Pinfect в кластерах Google Kubernetes Engine (GKE) у нескольких заказчиков. Один инцидент длился почти шесть месяцев. Причиной стали открытые Redis-серверы, которые злоумышленники использовали для первоначального проникновения. Это наглядно показывает, как одна ошибка в настройке облачной инфраструктуры способна привести к долгосрочной компрометации.

Описание

Вредоносная активность выявлялась через систему композитных оповещений FortiCNAPP. Её сигнатуры неоднократно фиксировали сигналы (beaconing) ботнета, но администраторы не успевали реагировать. Хотя телеметрия не выявила выполнения полезной нагрузки второго этапа (second‑stage payload), P2Pinfect известен тем, что способен долго оставаться в спящем режиме и активироваться только спустя недели или месяцы для доставки программ-вымогателей или майнеров криптовалют. Некоторые варианты ботнета также имеют функционал руткита на уровне пользователя (usermode rootkit), что позволяет скрывать своё присутствие.

Аналитики идентифицировали новый скрипт развёртывания deployer.sh (MD5: 80676a539765a9e117f20b6b99887eca). Он загружал исполняемый файл P2Pinfect с сервера 8.210.50[.]65:60126 и запускал его с закодированной базой 64 аргументов. Внутри аргументов после дешифровки (с использованием фиктивного ключа из нулей) находился список IP‑адресов и портов пиров - так называемый bootstrap-список для подключения к пиринговой сети ботнета.

Особый интерес вызывает связь P2Pinfect с двумя недавними уязвимостями. Первая - Metro4Shell (CVE‑2025‑11953) - критическая уязвимость в сервере разработки React Native Metro, позволяющая неавторизованное удалённое выполнение кода. Как показали данные телеметрии, уже с ноября 2025 года злоумышленники начали использовать Metro4Shell для заражения новых узлов. На нескольких Redis-хостах, контактировавших с пирами P2Pinfect, были обнаружены одинаковые клиентские бинарники (с MD5 a1a35afebb585917675534de3d610c93 для Linux и 08ad2c2877edda9a050b81d011c1c003 для Windows). Эти же файлы ранее были замечены в эксплуатации Metro4Shell, зафиксированной на ханипотах VulnCheck. В отчёте указано, что атаки происходили с декабря 2025 по январь 2026 года. Таким образом, ботнет расширил свои цели: добавил к Redis ещё и React-окружения.

Вторая уязвимость - RediShell (CVE‑2025‑49844). Это также критическая проблема в Redis, позволяющая аутентифицированному пользователю обойти песочницу Lua и выполнить произвольный код. Она напоминает более старую CVE‑2022‑0543, которую P2Pinfect, как известно, активно эксплуатировал. Телеметрия FortiGuard показывает, что скомпрометированные Redis-серверы оставались уязвимыми к RediShell как минимум до 29 ноября 2025 года. Специалисты с низкой уверенностью предполагают, что RediShell мог использоваться как вектор доступа, но окончательно не подтверждено. Возможно, злоумышленники использовали команду SLAVEOF, чтобы сделать открытые серверы подчинёнными своему узлу и получить контроль.

Интересно, что на четырёх из подвергшихся атаке Redis-узлов также были обнаружены майнеры криптовалют. Однако это связывают с отдельной параллельной кампанией по эксплуатации React (не P2Pinfect), которая проходила в декабре 2025 года.

Сам ботнет P2Pinfect отличается высокой живучестью. Он написан на Rust и использует одноранговую (peer‑to‑peer) архитектуру, что делает его неуязвимым для традиционного sinkholing - техники перенаправления трафика ботнета на подконтрольный сервер для изоляции. Каждый узел одновременно является и клиентом, и распространителем, поэтому отключение одного центра управления неэффективно.

Операторы ботнета ориентируются на масштаб: они стремятся набрать как можно больше узлов и удержать к ним доступ. Модель работает как "ботнет в аренду": клиенты платят за возможность развернуть свою полезную нагрузку (вымогатели, майнеры). Именно этим объясняются длительные периоды молчания, которые наблюдались в ходе описанной кампании. Никакого второго этапа не было запущено, но связь между пирами продолжалась непрерывно.

Анализ кластера P2Pinfect показал, что несколько узлов ботнета независимо фиксировались за атаки по подбору SSH и эксплуатацию уязвимостей. Все образцы упакованы через UPX и распространяются по единой схеме URI: /Linux, /Windows, /IP. Коммуникация ведётся через нестандартные порты.

Выводы специалистов таковы: облачные среды требуют особенно тщательного контроля конфигурации. Один открытый порт Redis без пароля или с настройками, разрешающими команду SLAVEOF из внешней сети, может запустить цепочку заражения, которая растянется на месяцы. Поскольку P2Pinfect постоянно ищет новые лазейки - от Redis до React‑серверов - организациям следует внедрять автоматические сканеры уязвимостей и следить за выходом обновлений для всех компонентов стека. Только комплексный подход, включающий своевременную установку патчей и принцип минимальных привилегий, способен снизить риск подобных долгоиграющих компрометаций.

Индикаторы компрометации

IPv4

1.247.85.75
100.213.197.233
100.90.25.226
103.121.141.219
105.145.239.137
106.134.119.22
106.140.23.239
106.15.6.205
109.244.159.27
109.29.150.162
111.44.188.63
112.124.33.87
112.238.201.237
112.98.5.70
113.148.24.177
114.165.245.107
115.125.23.152
117.12.145.66
119.199.35.203
120.46.123.236
120.79.96.4
121.179.219.64
121.204.162.239
121.30.203.248
123.57.166.174
124.172.89.52
124.7.66.140
124.98.224.98
125.180.235.126
125.216.94.116
126.52.194.110
128.60.154.71
129.204.159.61
130.143.142.197
130.67.79.118
131.12.100.82
131.221.55.55
133.212.204.68
133.230.209.221
134.10.252.50
135.104.247.222
137.41.250.154
138.245.141.29
139.137.123.107
140.138.73.90
142.0.113.218
144.206.252.101
145.223.170.94
150.133.110.86
150.190.65.188
151.254.98.24
152.58.246.88
153.210.124.35
158.137.22.55
158.34.242.151
159.61.17.27
159.71.127.45
16.179.126.221
160.76.116.171
161.172.126.97
162.143.130.149
162.98.172.135
163.240.115.198
164.69.226.19
165.182.212.174
169.172.208.7
17.22.22.138
170.176.25.202
171.182.177.104
172.85.88.18
173.182.199.39
173.214.154.156
175.24.232.83
175.47.58.220
177.135.193.45
177.39.104.161
178.205.153.164
178.62.63.125
178.66.219.204
18.101.4.53
18.53.48.22
180.141.2.47
180.97.238.176
181.152.8.203
185.125.188.54
185.125.188.57
185.125.188.58
185.125.188.59
185.125.188.61
185.125.188.62
185.36.191.11
185.47.42.29
186.24.38.20
190.52.152.80
192.107.46.130
192.76.77.147
194.137.126.5
194.244.88.213
195.210.94.211
196.156.250.216
199.104.179.97
2.140.152.161
20.106.43.75
200.192.208.85
201.174.79.211
201.185.159.156
203.245.123.21
203.57.109.214
204.113.128.177
204.165.98.242
204.63.48.223
207.165.41.185
207.255.222.227
209.184.57.208
209.252.216.5
209.33.23.29
21.211.247.37
212.60.21.149
214.44.196.137
215.247.118.38
219.84.179.105
22.217.154.217
22.24.243.243
220.57.167.23
221.54.220.244
222.252.28.220
222.66.218.146
223.102.155.26
223.126.204.144
223.162.160.38
225.197.0.32
229.253.172.105
23.249.28.118
230.227.70.252
230.242.72.133
230.249.119.156
232.121.145.49
233.170.41.108
234.48.141.187
235.97.245.85
238.249.35.6
239.37.48.24
24.6.188.197
25.216.91.130
25.59.88.117
27.251.251.240
27.5.72.63
28.243.225.34
31.148.219.190
33.135.78.158
34.205.26.232
34.220.57.36
34.243.160.129
34.254.182.186
35.206.183.83
37.209.44.131
37.74.217.238
39.107.124.63
39.157.192.20
39.172.34.157
39.97.246.227
4.137.72.51
40.183.82.113
40.197.144.16
41.25.13.133
43.100.32.28
43.138.73.200
43.174.218.126
46.205.39.127
46.65.5.238
47.237.140.12
47.238.212.222
47.239.209.158
47.239.42.214
47.242.58.84
47.242.66.123
47.243.127.140
47.243.177.131
47.243.189.23
47.250.164.199
47.76.142.213
47.76.75.245
47.76.86.49
47.83.124.121
47.83.14.117
47.83.203.183
47.86.190.58
47.86.29.170
47.86.33.195
47.86.5.176
49.120.100.129
49.62.212.4
5.255.106.100
50.30.126.15
50.70.74.107
51.113.26.45
51.39.230.38
52.110.219.209
52.164.169.218
52.228.192.117
53.117.235.215
54.171.230.55
54.217.10.153
54.247.62.1
56.46.194.250
56.79.43.30
58.121.151.213
58.34.115.42
6.0.117.236
6.148.165.26
6.29.127.70
6.46.96.16
60.205.248.70
60.82.49.55
61.145.106.206
62.207.245.22
65.172.199.51
66.119.176.155
68.75.164.105
71.62.224.192
72.61.212.5
73.171.93.139
75.114.28.208
76.244.46.46
76.248.208.196
8.129.101.20
8.134.20.170
8.159.209.142
8.179.246.145
8.210.178.40
8.210.50.65
8.218.225.42
8.218.234.50
8.219.62.229
8.222.134.149
8.222.150.109
8.35.246.17
80.207.23.111
83.123.148.103
84.108.48.47
84.114.45.10
87.21.144.107
88.108.182.67
89.70.228.146
91.2.143.88
91.207.46.79
93.92.244.91
94.96.50.193
96.232.135.88
97.239.144.2

Domains

2e4105ee.skybroadband.com
5coejcobuy2t2xgp.myfritz.net
a010285340c7335e44438d05baafc04ab.anondns.net
a039203.anondns.net
a0bcc1f358610dcef41b9ae3fdc0f91f8.anondns.net
a0f745a94c8046aa6db9217dc19f2e8e7.anondns.net
a1581b415f7b0be04217b2cc4ba0b2f4d.anondns.net
a1a17f8e652f81000b6362dd63b218e85.anondns.net
a1a6359df1adfc073bbb9b5ee7f6451be.anondns.net
a1qnyyb.anondns.net
a2cb49695c30beee0e482ffc15f72e7ae.anondns.net
a2d502a9eed411313.anondns.net
a3dp2l8cgsk45.anondns.net
a4613f0760aa25581cd489973daac2431.anondns.net
a48e1e87d8d7b9223581be7ec64125cea.anondns.net
a4dd2a72e45670f7b.anondns.net
a542638858d17f78e637dd2fbee816d43.anondns.net
a54ab8dfd70c728ce2b9183be7dd5060d.anondns.net
a5fd5561356ef5414844c9f15165381a1.anondns.net
a64d65f9ebdea350922907e3d43edd0a5.anondns.net
a665c1f8479833b50a8444bf69df61355.anondns.net
a-regist.anondns.net
cumminsvendaseservicos.static.gvt.net.br
d-207-255-222-227.mdde.cpe.atlanticbb.net
device-01902aca-52d7-4b76-8688-0474a787774a.remotewd.com
device2322246-75aed152.wd2go.com
device-a5e9dc96-7d85-4651-ba5c-a263674638d2.remotewd.com
donbvvc.ddns.net
fgu28pgsml4rr3mr.myfritz.net
fokoffkont.anondns.net
mail.premier-fxvci.com
moodle02-prod-osl3.udir.c.bitbit.net
myngoa.io
nhakhoassd.vn
officestoreimages.com
ostori.ru
p2904108-ipoe.ipoe.ocn.ne.jp
payment.sendertools.org
sbi-ds2.direct.quickconnect.to
sendertools.org
socargo.com
visabaodau.vn
www.myngoa.io
www.nhakhoassd.vn
www.visabaodau.vn

URLs

http://106.15.6.205:9030/linux
http://109.244.159.27/
http://112.124.33.87:60147/linux
http://119.199.35.203:60105/linux
http://11aq.cc/
http://121.204.162.239/
http://121.204.162.239:22/
http://121.30.203.248:60105/linux
http://123.57.166.174/
http://123.57.166.174:60118/linux
http://129.204.159.61/
http://129.204.159.61:60124/linux
http://175.24.232.83/
http://178.62.63.125/
http://178.62.63.125:60147/linux
http://180.97.238.176/
http://185.36.191.11/
http://200.192.208.85/
http://202.55.82.250:60140/ip
http://203.57.109.214/
http://203.57.109.214:60114/linux
http://207.255.222.227/
http://212.60.21.149/
http://222.252.28.220:60105/linux
http://223.126.204.144/
http://23.249.28.118/
http://23.249.28.118:60132/linux
http://39.107.124.63:60113/linux
http://39.97.246.227:9613/linux
http://43.100.32.28:60133/linux
http://43.138.73.200/
http://43.138.73.200:60139/linux
http://47.236.20.49:60120/ip
http://47.236.243.143:60102/ip
http://47.237.140.12/
http://47.237.140.12:60145/linux
http://47.237.30.107:60122/ip
http://47.237.80.140:60126/ip
http://47.238.212.222:60124/linux
http://47.239.209.158/
http://47.239.42.214/
http://47.239.42.214:601/
http://47.239.42.214:60123/ip
http://47.239.42.214:60123/linux
http://47.239.80.113:60130/ip
http://47.242.58.84:60109/linux
http://47.242.66.123/
http://47.242.66.123/linux
http://47.242.66.123:60124/linux
http://47.243.127.140/
http://47.243.127.140:60/
http://47.243.127.140:60143/linux
http://47.243.177.131/
http://47.243.189.23/
http://47.243.189.23:60148/linux
http://47.250.164.199/
http://47.250.164.199:8745/linux
http://47.76.142.213:60108/linux
http://47.76.86.49:60108/linux
http://47.83.115.92:60137/ip
http://47.83.124.121/
http://47.83.124.121/arm_linux
http://47.83.124.121/ip
http://47.83.124.121/linux_sign
http://47.83.124.121:60105/
http://47.83.124.121:60105/linux
http://47.83.14.117:60123/linux
http://47.83.203.183/
http://47.83.203.183:60138/linux
http://47.86.176.50:60145/ip
http://47.86.190.58/
http://47.86.190.58/linux
http://47.86.190.58:60135/linux
http://47.86.29.170/
http://47.86.33.195/
http://47.86.33.195:60130/
http://47.86.33.195:60130/linux
http://47.86.33.195:60130/linux/
http://47.86.33.195:60130/windows
http://47.86.5.176/
http://47.86.5.176/linux
http://47.86.5.176:60114/linux
http://51.39.230.38/
http://60.205.248.70/
http://60.205.248.70:6352/linux
http://70231jiivv30231rr56.weresex.website/
http://70231jiivv30231rr56.weresex.website/3334ihpbkrmad
http://8.129.101.20/
http://8.129.101.20/linux
http://8.129.101.20:60121/linux
http://8.133.3.227:60141/ip
http://8.210.178.40/
http://8.210.178.40/linux
http://8.210.178.40:60131/Linux
http://8.210.50.65/
http://8.210.50.65/linux
http://8.210.50.65:60126/ip
http://8.210.50.65:60126/linux
http://8.218.125.202:60147/ip
http://8.218.169.20:60120/ip
http://8.218.225.42/
http://8.218.225.42/linux
http://8.218.225.42:60101/linux/
http://8.218.234.50/
http://8.218.234.50/60130
http://8.218.234.50:60130/linux
http://8.219.62.229/
http://8.222.134.149:60103/linux
http://bac677xwy455tsu233p.weresex.website/favicon.ico
http://d-207-255-222-227.mdde.cpe.atlanticbb.net/
http://donbvvc.ddns.net/
http://dragonscaleamor.com/
http://fokoffkont.anondns.net/
http://fokoffkont.anondns.net:44999/
http://ostori.ru/
http://payment.sendertools.org/
http://sendertools.org/
http://xn--6mq533a6onr8x.club/
http://xn--9vvu71cmvh.cc/
http://xn--f8q364c.cc/
http://xn--pss86i1q3dpvg.com/
http://xn--vjq503akuvlys.cc/
http://xn--vjq503am8hyu3b.cc/
https://109.244.159.27/
https://112.124.33.87/
https://119.199.35.203/
https://11aq.cc/
https://120.79.96.4/
https://121.204.162.239/
https://121.204.162.239:22/
https://123.57.166.174/
https://129.204.159.61/
https://129.204.159.61:60124/linux/
https://175.24.232.83/
https://177.39.104.161/
https://178.62.63.125/
https://180.97.238.176/
https://200.192.208.85/
https://200.192.208.85:80/
https://203.57.109.214/
https://207.255.222.227/
https://212.60.21.149/
https://23.249.28.118/
https://43.138.73.200/
https://47.237.140.12/
https://47.239.209.158/
https://47.239.42.214/
https://47.242.58.84/
https://47.242.66.123/
https://47.242.66.123:60124/linux/
https://47.243.127.140/
https://47.243.177.131/
https://47.243.189.23/
https://47.243.189.23:60148/linux/
https://47.250.164.199/
https://47.250.164.199:8745/linux/
https://47.76.75.245/
https://47.83.124.121/
https://47.83.203.183/
https://47.86.190.58/
https://47.86.29.170/
https://47.86.33.195/
https://47.86.33.195:60130/linux/
https://47.86.5.176/
https://60.205.248.70/
https://8.129.101.20/
https://8.129.101.20/linux/
https://8.210.178.40/
https://8.210.178.40:60131/linux/
https://8.210.50.65/
https://8.218.225.42/
https://8.218.225.42:60101/linux/
https://8.218.234.50/
https://8.219.62.229/
https://fokoffkont.anondns.net/
https://sendertools.org/
https://sendertools.org/payform/form1/?id=fcebea2092962a45fff5c94400e40def
https://sendertools.org/payform/form2/?id=b64d91b5c0ce061de3a81607c28f6a24
https://www.yjwj.cc/
https://xn--9vvu71cmvh.cc/
https://xn--f8q364c.cc/
https://xn--nets28k.cc/
https://xn--vjq503ak8e54f.cc/
https://xn--vjq503am8hyu3b.cc/
https://yjwj.cc/

SHA256

03acb11799183f3b25b2ffe7227e0e010016eae81b23a663f32b5b0929d0598d
11370d218430a0bdb2b584eb4181c21bd2abe9958ba639c017caf04ec019d117
1ab5deb020fdfd22cdbb5264ce0817e1b92b09d660dd5a92baab8835c81c5c84
20e7ca6945964ef5072639854f5a2f58a574196de7532872c79d66e313f9e075
28f641a9ea52542ed8cedcd070e825944b4650477d1a79cb0ab2acea97733e9b
2fcaf9a4f6d549a86f4fdf6a6b01e044c29fce093a777b114d73dea8adf25538
329f0a2c0727b122b84d1719a68066cbd1fabf2854b2a785869021aa2bfdd5cf
45aeada2dc3b0905ee1ab952869094828a51a2d3ed02d6e1c8c7d574d6bf439b
53fb9390d471f30b79297095159247d23c0af868fd02c43afcd797bc83816678
77d764ced0a7bcac8814aaa2a08a1d11762f3c702eb06b77b6388d3f279951a8
815d907cb772757383fee0fb7466fb9cc70ffe5400a14b1549ecaf6b1d649842
8c95bb248000d706a65835b919ec9f6b7e10226d6925c0a8475a2c2cf4eb8efb
976e3772ffea7499f7c119e956a5a71806f8f054caf174978fa888b254dd22a0
a505de0af54408dcde2f869608398a409908543a43fad15397a342b2200f8a52
a8d79f40ddb79de569d778f1c0b832f9cc266b32274b702cff4ba2b8a0dd1549
b1097ea4fcd2a51d5db7ad33922e76eeee374432cd65e452563cc1e1262752e0
b67cd5f540094b7a2dea1ba92f3ac7a3c0ecfe67975ed947a1203cefe41f3a42
bae21a944b639ed2c7b70964288131274916a1d52ac906725b39a3e15d243cf0
c5e5e41f88f91e4e2ad524fae156bb74efe86e97ce84701b3e7f3a252fdb82ab
c7fe86aed191cb848d436b49602f3c351921030cf9e6879d9f8b438243abb63d
cf7a5bc77b17f078518f5481413c7aa298746d3be49a840bdbcb6d40d1fe758d
d1886b189474b02467ed2845df0938cec9785e99c3d4b04e0b7de3cafbee4182
d620a88c923a7d17d7a47fcf3bf017f5357c00dc0a52d19e8dbdc2acafcef326
d8337df3aff749250557bf11daf069eb404cce0e6f4f91c6bd6d3f78aed6e9d6
d96666f9787eee49dc1b9e8685e6985105b8366eea975767846ca3e2b4c7888e
dfdcec031b06ff21277b48596d6dda701836ceab922ba641972de546dc6af574
e0d37a0c6562cde36ab3c10b56041327e25b66754ad0be12993b9675b63ece67
e266522260258ca88b5659042f103dff04b65e1c5aeb8423545df1e1cde0718f
e320c0498781c75429b00b274e3b71b5197a6901e79ddd5f00d5bdff68636a4a
eaf1adbd9f25d7d482dcce1e41099de651b683f9e0518d5af061b59b9151a7bf
ec2ef000838b418ea582fe8fd680010dfa828a3ef5f2c4666aac5c7468547697