Kubernetes is de standaard voor cloud-native workloads en wordt wereldwijd ingezet voor het orkestreren van grootschalige applicaties in de cloud. Door deze brede adoptie richten cybercriminelen zich steeds vaker op kwetsbaarheden binnen Kubernetes-omgevingen. Het aantal aanvalspogingen op Kubernetes is in een jaar tijd met 282 procent toegenomen, waarbij de IT-sector het zwaarst getroffen wordt. Volgens Unit 42 van Palo Alto Networks is 78 procent van alle kwaadaardige activiteit gericht op deze sector.

De aanvallen zijn vaak gericht op specifieke doelwitten, zoals cryptobeurzen. Zo werd begin 2025 de cryptobeurs Bybit via gestolen AWS-tokens blootgesteld, terwijl Unit 42 ook een compromis ontdekte bij een andere cryptobeurs via Kubernetes-credentials. Deze aanvallen maken gebruik van gestolen service account tokens binnen Kubernetes-clusters, die toegang geven tot de Kubernetes API en daarmee tot de gehele clusterinfrastructuur. In 22 procent van de cloudomgevingen werd in 2025 verdachte activiteit vastgesteld die wijst op tokendiefstal.

Een voorbeeld is de aanval op een cryptobeurs medio 2025, waarbij de Noord-Koreaanse groep Slow Pisces, ook bekend als Lazarus of TraderTraitor, betrokken was. Via spearphishing kreeg de aanvaller toegang tot de werkplek van een ontwikkelaar en gebruikte vervolgens een geprivilegieerde cloudsessie om een kwaadaardige pod te plaatsen in het productie-Kubernetes-cluster. Deze pod was ontworpen om het service account token van een beheersaccount te bemachtigen, waarmee de aanvaller toegang kreeg tot de Kubernetes API-server. Hierdoor kon de aanvaller secrets onderscheppen, workloads manipuleren en een backdoor plaatsen. Uiteindelijk leidde dit tot het stelen van miljoenen aan cryptocurrency. Slow Pisces was eerder verantwoordelijk voor de grootste digitale diefstal ooit, waarbij circa 1,5 miljard dollar aan Ethereum werd gestolen bij Bybit.

Daarnaast meldde Unit 42 een snelle uitbuiting van de kwetsbaarheid CVE-2025-55182, ook bekend als React2Shell. Deze kwetsbaarheid in React Server Components werd begin december 2025 openbaar gemaakt en leidde binnen enkele dagen tot gerichte aanvallen op clouddiensten. Door onveilige deserialisatie konden aanvallers willekeurige code uitvoeren in applicatiecontainers, waardoor zij volledige controle kregen over de getroffen pods.

Deze ontwikkelingen onderstrepen het belang van het beveiligen van credentials en het monitoren van verdachte activiteiten binnen Kubernetes-omgevingen. Voor een uitgebreid overzicht van de dreigingen en aanbevelingen wordt verwezen naar het volledige rapport van Unit 42 en de analyses van de securityonderzoekers.