
A principios de julio surgió una botnet Go llamada NadMesh dirigida a los servicios públicos de IA, y el propio panel del operador afirma tener 3.811 claves AWS únicas.
Shodan Harvester mantiene ComfyUI, Ollama, n8n, Open WebUI, Langflow y Gradio almacenados en la cola de escaneo. Se trata de generadores de imágenes, ejecutores de modelos locales y creadores de flujos de trabajo que ayudan a los equipos a ponerse en marcha rápidamente y retrasar los cortafuegos.
La información de Intel detrás de este mostrador muestra 47 agujeros de credenciales y 41 inventarios de modelos para los últimos 100 registros. Estos inventarios incluyen identificadores DeepSeek, GLM y Kim etiquetados con :cloud, lo que sugiere que el catálogo de bots va más allá de la caja misma.
XLab de QiAnXin publicó un informe el viernes, nombrando el malware según la cadena «n4d mesh controlador» en la fuente y tomando una captura de pantalla del panel. Los números que aparecen son del propio operador, tomados el 10 de julio y no coinciden entre sí.
El contador que muestra 17.700 implementaciones totales está por encima del embudo que muestra 95.700 en las últimas 24 horas. Un mosaico muestra 16 bots activos. A continuación se mostrarán 12. El número de credencial aparece al menos dos veces. Los propios sensores de XLab proporcionan mediciones externas, pero tampoco se trata del número de robots. Las IP de fuente discreta que impulsaban NadMesh estuvieron cerca de cero hasta finales de junio, pero aumentaron a aproximadamente 139 por día en la primera semana de julio.
El bot incorpora variables de entorno, el token de la cuenta de servicio k8s y claves de nube extraídas del contenido de ~/.aws/config, .env y ~/.docker/config.json.
Los investigadores lo afirman claramente: los operadores apuntan a «las credenciales de la nube y los privilegios del clúster de Kubernetes en el host, no al host en sí». El acceso a modelos y las herramientas MCP invocables completan la lista.
MCP está por encima de Kubernetes, Docker API y Redis en el orden de prioridad de explotación del controlador, y el registro Vector XLab al lado es una llamada de herramienta/comando_ejecutado JSON-RPC. No hay ningún CVE adjunto a esa línea y no se reclama ningún CVE en el informe.
La especificación MCP original colocaba la autenticación completamente fuera del protocolo central y, en palabras de la propia especificación, el flujo de autenticación agregado en marzo de 2025 sigue siendo opcional. Muchas implementaciones omiten eso. Censys contó 12.520 servicios MCP accesibles en 8.758 direcciones IP al 28 de abril, y más de 21.000 al 6 de mayo, con alrededor de 90 servicios que anuncian herramientas para ejecutar comandos.
En 39 de ellos, la herramienta se llamaba ejecutar_command, la llamada exacta en la parte superior de la tabla de NadMesh. Los propios contadores MCP de la botnet no coinciden. Hay 12,100 servicios MCP listados como explotables, 21 vulnerabilidades MCP en general y ninguna en los 100 registros de información en pantalla.
A continuación, analizamos lo que realmente arrojó XLab. La compañía graficó el tráfico de exploits que observó, donde docker_containers_api_rce representó el 30,31% y jenkins_scripttext_rce representó otro 22,28%. Las contraseñas débiles de Telnet representan el 10,36% y las de Redis el 8,29%.

Debido a que mcp_cmd_execute está en el gráfico, el vector está dentro del tráfico observado de XLab, pero en la cola sin etiqueta debajo del segmento etiquetado más pequeño (0,78%). Esta es la vista del sensor de los intentos de XLab, no el libro de registro de éxito del operador, ya que las etiquetas del gráfico no coinciden con las cadenas de estado del propio controlador.
Entonces, la orientación de la IA en realidad ocurre durante la ingestión y el saqueo, y la mayor parte del tráfico de exploits aún se dirige a los sockets Docker y la consola Jenkins.
El escaneo se realizará automáticamente. Las subredes que generan visitas se vuelven a muestrear con mayor densidad cada 5 minutos. Las IP que se marcaron como riesgosas en las últimas 24 horas se devolverán cada 40 minutos debido a una nueva exploración /32 en el puerto AI primero. Una barrida completa devuelve a la cima todo lo marcado como peligroso en los últimos 7 días.
Los objetivos que absorben 10 intentos de implementación sin arrojar resultados se incluyen automáticamente en la lista negra como sospechosos de honeypots. XLab ve esto como una señal de que los autores saben que los investigadores están prestando atención. Una vez que la cola esté vacía, el bot generará un /24 aleatorio y continuará.
5 versiones de compilación ejecutándose al mismo tiempo, 11 bots ejecutándose en 33.8-GO-TITAN y rezagados volviendo a 30.0. El punto final canario organiza nuevas compilaciones en porciones de la flota y proporciona 5.448 respuestas, de las cuales 84.024 son nulas. Los embudos realizan un seguimiento de las tareas hasta su implementación en un host en vivo.

La propia nota a pie de página del panel indica que «el éxito se calificará en función de una lista permitida de resultados que excluye explícitamente las cosechas de Ollama y AWS». El marcador del operador no cuenta lo que el operador está tomando.
La eliminación está diseñada para fallar. El agente persiste de tres maneras a la vez, por lo que si tiras de una, el resto permanece y lo retiras. Todas las compilaciones tienen ofuscación confusa, empaquetado UPX -9 y relleno aleatorio. Esto significa que los dos agentes no comparten un hash. El hash de ejemplo publicado captará esa compilación y perderá el resto.
Cuando ejecuto esto
La mayor parte de lo que NadMesh arroja apunta a servicios expuestos y funcionalidad administrativa que se puede llamar (2375 API Docker abierta, consola de secuencias de comandos Jenkins, Redis no autenticado, Telnet débil, contraseñas SSH). No hay ningún parche para cerrarlos.
Comience con los primeros cuatro puertos colocados en el trabajo de reexploración: 8188 (ComfyUI), 11434 (Ollama), 7860 (Gradio) y 5678 (n8n) y aíslelos de la autenticación detrás o de la Internet pública.
También hay una cola de parches, pero no es tan antigua. Este cuadro incluye CVE-2026-39987, RCE de autenticación previa para portátiles Marimo anteriores a 0.23.0. CISA registró el archivo ante KEV en abril después de que fuera explotado pocas horas después de su publicación.
Junto a eso está CVE-2026-41176, que permite a personas que llaman no autenticadas alternar rc.NoAuth en servidores rclone RC de 1.45.0 a 1.73.5 que se inician sin autenticación HTTP. La configuración de rclone son sus credenciales de nube. Antes de que entre en pánico, debe verificar los términos de su entrada anterior. CVE-2022-22947 al 6,48 % solo afecta a los puntos finales del actuador Spring Cloud Gateway que están habilitados y expuestos de forma insegura. 4,15% CVE-2017-12611 es un defecto en la etiqueta Struts Freemarker.
A continuación, verifique la ruta de caída.
~/.ssh/authorized_keys, /dev/shm/.a, /var/tmp/.a, /tmp/.a /etc/cron.d/.sys_monitor, para claves donde nadie recuerda haber agregado /etc/cron.d/.s
Si ocurre algo de esto, aísle el host y revoque inmediatamente todas las credenciales visibles para el host, incluidas las claves de AWS, los tokens de clúster, el contenido .env y los inicios de sesión del registro. Deshacer no gira. Por favor, sea persistente antes de emitir el intercambio. De lo contrario, se utilizará la nueva clave en lugar de la antigua.
Luego verifique dónde se usó el anterior mientras estaba en producción. Los indicadores XLab son C2 en 209.99.186(.)235, dominio cdnorigin(.)net y una muestra de agente SHA1 31c69b3e12936abca770d430066f379ec1d997ec.
Hacker News presentó a otro operador operando la misma clase objetivo en abril. Censys descubrió que el operador opera nodos proxy Hysteria para reventa además de ComfyUI, que está expuesto para minería GPU, Monero y Conflux. Tres meses después, NadMesh ha arrasado en la red mucho más, pero ComfyUI y Docker, publicado en 2375, están en ambas listas de objetivos.
Lo que ha cambiado es la recompensa. Los operadores de April quieren GPU y NadMesh quiere algo en lo que sus cajas puedan iniciar sesión. Censys concluyó su censo de MCP adivinando el peor resultado posible para todas estas herramientas de shell disponibles públicamente: el host se convierte en «parte de una futura botnet o infraestructura de explotación». Eso fue el 27 de mayo. Siete semanas después, XLab publicó una botnet con mcp_cmd_execute en sus tablas de exploits.
Source link
