- Botnet P2PInfect, escrita em Rust, passou a comprometer clusters Kubernetes por meio de instâncias Redis expostas à internet, com observações em ataques ao Google Kubernetes Engine.
- O ataque inicia quando o Redis fica acessível sem controles de rede ou autenticação, permitindo que invasores usem recursos legítimos para integrar o serviço à infraestrutura maliciosa.
- Um dos métodos aproveita o comando SLAVEOF para fazer o Redis comprometido seguir um servidor controlado pelos criminosos, abrindo caminho para carregar módulos arbitrários e executar código no contêiner.
- A campanha também explora a vulnerabilidade CVE-2022-0543, falha crítica de escape do sandbox Lua no Redis, com pontuação CVSS 10.0, ainda perigosa em ambientes sem correções.
- Entre novembro de 2025 e fevereiro de 2026, pesquisadores da FortiGuard Labs identificaram hosts Redis comprometidos conectando-se à rede peer-to-peer da botnet, tornando bloqueios mais difíceis pela ausência de um único servidor de comando e controle, e o bot pode permanecer dormente para facilitar a detecção.
A botnet P2PInfect passou a comprometer clusters Kubernetes por meio de instâncias Redis expostas à internet, ampliando o risco para nuvens e aplicações corporativas. A ameaça, escrita em Rust, está ativa desde 2023 e foi observada em ataques contra clusters do Google Kubernetes Engine (GKE).
Pesquisadores apontam que o ponto de entrada ocorre quando uma instância Redis fica acessível sem controles de rede ou autenticação. A partir daí, os invasores usam recursos legítimos do Redis para integrar o serviço à infraestrutura maliciosa.
Entre as táticas está o abuso do comando SLAVEOF, que faz o Redis comprometido seguir um servidor controlado pelos criminosos. Isso permite carregar módulos arbitrários e abrir caminho para execução de código no contêiner.
Outro vetor é a exploração da CVE-2022-0543, falha de escape do sandbox Lua no Redis, com pontuação CVSS 10.0. A vulnerabilidade facilita execução de código em versões vulneráveis e permanece arriscada onde não houve correção.
Entre novembro de 2025 e fevereiro de 2026, pesquisadores da FortiGuard Labs observaram hosts Redis comprometidos conectando-se externamente à rede peer-to-peer da botnet. O modelo descentralizado dificulta bloqueios, já que não há um único servidor de comando e controle.
Integrada à malha P2P, a atividade do bot pode ficar dormente, com baixos indicadores de uso. Esse comportamento reduz a detecção em clusters Kubernetes com tráfego entre serviços já alto e muitas saídas de rede.
Entre na conversa da comunidade