Begin juli dook het NadMesh-botnet op, een Go-botnet dat actief zoekt naar blootgestelde AI-diensten om cloudcredentials en Kubernetes-tokens te verzamelen. Volgens het dashboard van de operator beschikt het botnet over 3.811 unieke AWS-sleutels. Een Shodan-harvester voorziet het botnet continu van nieuwe doelen, waaronder ComfyUI, Ollama, n8n, Open WebUI, Langflow en Gradio. Dit zijn beeldgeneratoren, lokale modeluitvoerders en workflowbuilders die teams snel opzetten en vaak pas later goed afschermen.

De verzamelde data toont 47 sets met gestolen inloggegevens en 41 modelinventarissen in de laatste 100 records. Deze inventarissen bevatten onder andere DeepSeek, GLM en Kimi, met een cloudlabel, wat suggereert dat het botnet verder kijkt dan alleen het lokale systeem. Het Chinese beveiligingsbedrijf QiAnXin’s XLab publiceerde een analyse waarin het malware naar de "n4d mesh controller" string in de broncode werd vernoemd. Het dashboard van de operator, vastgelegd op 10 juli, toont tegenstrijdige cijfers: zo wordt 17.700 totale deploys genoemd, terwijl een funnel 95.700 deploypogingen in de afgelopen 24 uur claimt. Het aantal actieve bots varieert tussen 12 en 16, terwijl het aantal gestolen credentials consistent minstens 3.811 bedraagt.

XLab’s eigen sensoren registreerden een sterke toename van unieke IP-adressen die NadMesh inzetten, van bijna nul eind juni tot ongeveer 139 per dag in de eerste week van juli. Het botnet verzamelt cloudkeys uit omgevingsvariabelen, Kubernetes service account tokens en configuratiebestanden zoals ~/.aws/config, .env en ~/.docker/config.json. De onderzoekers benadrukken dat het doel niet de host zelf is, maar de cloudcredentials en Kubernetes-clusterrechten die daarop aanwezig zijn.

Het botnet richt zich vooral op toegang tot modellen en het Model Context Protocol (MCP), dat prioriteit heeft boven Kubernetes, Docker API en Redis. De exploitvector die XLab observeerde is een JSON-RPC-aanroep execute_command, waarvoor geen bekende CVE bestaat. De eerste MCP-specificatie plaatste authenticatie buiten het kernprotocol, en de optionele autorisatiestroom die in maart 2025 werd toegevoegd, wordt door veel implementaties niet gebruikt. Volgens Censys waren er begin mei meer dan 21.000 bereikbare MCP-diensten, waarvan ongeveer 90 een tool aanboden die commando’s kan uitvoeren, waaronder execute_command, de exacte aanroep die NadMesh gebruikt.

De exploitatiecijfers van het botnet zelf zijn inconsistent: het dashboard toont 12.100 exploiteerbare MCP-diensten en 21 MCP-kwetsbaarheden, maar in de laatste 100 intelrecords zijn geen MCP-exploits terug te vinden. XLab registreerde dat het meeste exploitverkeer gericht is op docker_containers_api_rce (30,31%) en jenkins_scripttext_rce (22,28%), gevolgd door Telnet met zwakke wachtwoorden (10,36%) en Redis (8,29%). De MCP-aanroep execute_command komt ook voor, maar met slechts 0,78% van het verkeer. Dit wijst erop dat de AI-gerichte aanvallen wel aanwezig zijn, maar het merendeel van de exploits nog steeds Docker-sockets en Jenkins-consoles betreft.

Het botnet scant continu en past de frequentie aan op basis van eerdere successen. Subnetten met hits worden vaker gescand, recent gevaarlijke IP-adressen worden elk kwartier opnieuw onderzocht, en systemen die tien deploypogingen zonder respons geven, worden automatisch als honeypot gemarkeerd. Dit duidt erop dat de maker zich bewust is van onderzoek naar het botnet. Bij een lege scanwachtrij genereert het botnet willekeurige /24-subnetten om te blijven zoeken. Momenteel draaien vijf verschillende versies van het botnet gelijktijdig, met elf bots actief op een 33.8-GO-TIT omgeving.