XLab zufolge ist die Ausrichtung auf KI-Dienste sowohl bei der Zielsuche als auch bei der Beute klar erkennbar. Ein mit Shodan arbeitender Sammler hält die Scan-Warteschlange mit Treffern auf ComfyUI, Ollama, n8n, Open WebUI, Langflow und Gradio gefüllt. In den letzten 100 Einträgen des vom Botnetz erfassten Lagebilds fanden die Forscher 47 Zugangsdaten-Funde und 41 Modellinventare. Diese Inventare enthalten Kennungen für DeepSeek, GLM und Kimi mit dem Zusatz „:cloud“, was laut Bericht darauf hindeutet, dass die Erfassung über den einzelnen Host hinausreicht.

Die vom Betreiber selbst angezeigten Zahlen sind allerdings widersprüchlich. XLab fotografierte das Panel am 10. Juli. Dort stehen 17.700 gesamte Verteilungen einer Angabe von 95.700 in den vergangenen 24 Stunden gegenüber. Eine Kachel nennt 16 aktive Bots, die nächste 12. Die Zahl der Zugangsdaten erscheint laut XLab immerhin zweimal gleich: 3.811 eindeutige AWS-Schlüssel. Die Sensoren von XLab liefern dazu eine externe Messgröße: Es geht dabei nicht um Bot-Anzahlen, sondern um unterschiedliche Quell-IP-Adressen, die NadMesh ausliefern.

Was NadMesh nach Hause sendet, ist im Bericht präzise beschrieben: Cloud-Schlüssel aus Umgebungsvariablen, k8s-Service-Account-Tokens sowie Inhalte aus ~/.aws/config, .env und ~/.docker/config.json. Hinzu kommen Modellzugänge und aufrufbare MCP-Werkzeuge. In der Prioritätenliste des Controllers steht MCP für die Ausnutzung sogar vor Kubernetes, Docker API und Redis. Als Vektor nennt XLab dort einen JSON-RPC-Aufruf tools/call an execute_command. Eine CVE-Nummer ist dieser Zeile nicht zugeordnet; XLab behauptet auch nicht, dass es dafür eine gebe.

Zum Kontext verweist der Bericht darauf, dass die erste MCP-Spezifikation Authentifizierung vollständig außerhalb des Kernprotokolls beließ. Der im März 2025 ergänzte Autorisierungsablauf ist laut Spezifikation weiterhin optional. Censys zählte zum 28. April 12.520 erreichbare MCP-Dienste auf 8.758 IP-Adressen, bis zum 6. Mai mehr als 21.000 und rund 90 mit einem Werkzeug zum Ausführen von Befehlen. Bei 39 davon hieß das Werkzeug execute_command – genau der Aufruf, der in NadMeshs Tabelle ganz oben steht.

Gleichzeitig zeigt XLabs beobachteter Exploit-Verkehr, dass der Großteil der Aktivitäten weiterhin auf klassische exponierte Verwaltungsdienste zielt. docker_containers_api_rce macht 30,31 Prozent der beobachteten Versuche aus, jenkins_scripttext_rce weitere 22,28 Prozent. Telnet mit schwachen Passwörtern kommt auf 10,36 Prozent, Redis auf 8,29 Prozent. mcp_cmd_execute taucht zwar ebenfalls in der von XLab erfassten Verkehrsgrafik auf, liegt aber im nicht weiter beschrifteten Rest unterhalb des kleinsten eigens markierten Segments von 0,78 Prozent. Laut Bericht handelt es sich dabei um XLabs Sensordaten zu Angriffsversuchen, nicht um eine Erfolgsstatistik des Betreibers.

Die Infrastruktur passt sich dynamisch an. Teilnetze mit Treffern werden alle fünf Minuten dichter erneut geprüft. IP-Adressen, die in den vergangenen 24 Stunden als gefährlich markiert wurden, kommen viertelstündlich als /32-Neuscans zurück, wobei zuerst KI-Ports geprüft werden. Eine vollständige Runde setzt alles, was in den vergangenen sieben Tagen als gefährlich markiert wurde, wieder an die Spitze. Ziele, die zehn Verteilungsversuche schlucken, ohne je ein Ergebnis zu liefern, werden automatisch als mutmaßliche Honeypots auf eine Sperrliste gesetzt. Für XLab ist das ein Hinweis darauf, dass der Autor mit Beobachtung durch Forscher rechnet.

Für die Verbreitung laufen laut Panel fünf Build-Versionen parallel. Elf Bots nutzen 33.8-GO-TITAN, Nachzügler noch 30.0. Neue Builds werden über einen Kanarien-Endpunkt an einen Teil der Flotte ausgerollt; dort registrierte XLab 5.448 Antworten und 84.024 Null-Antworten. Die Entfernung der Schadsoftware ist laut Bericht absichtlich erschwert: Der Agent sichert seine Persistenz auf drei Arten gleichzeitig. Jede Build-Version wird zudem mit Garble verschleiert, mit UPX -9 gepackt und mit Zufallsdaten aufgefüllt, sodass keine zwei Agenten denselben Hash teilen. Der veröffentlichte Beispiel-Hash SHA1 31c69b3e12936abca770d430066f379ec1d997ec identifiziert daher nur genau diesen Build.

Neben offen erreichbaren Docker-APIs auf Port 2375, Jenkins-Skriptkonsolen, ungeschütztem Redis sowie schwachen Telnet- und SSH-Passwörtern nutzt NadMesh auch einen Patch-Katalog. In XLabs Grafik erscheint CVE-2026-39987, eine Pre-Auth-RCE in Marimo-Notebooks vor Version 0.23.0; CISA nahm sie im April in KEV auf, nachdem sie innerhalb von Stunden nach der Offenlegung ausgenutzt worden war. Ebenfalls aufgeführt ist CVE-2026-41176, mit der ein nicht authentifizierter Aufrufer auf rclone-RC-Servern von 1.45.0 bis 1.73.5 rc.NoAuth umschalten kann, sofern sie ohne HTTP-Authentifizierung gestartet wurden. Unter den älteren Einträgen nennt der Bericht CVE-2022-22947 mit 6,48 Prozent, die nur greift, wenn der Spring Cloud Gateway Actuator-Endpunkt aktiviert und ungesichert exponiert ist, sowie CVE-2017-12611 mit 4,15 Prozent, die Struts-Freemarker-Tag-Lücke.

Als Indikatoren nennt XLab einen C2-Server unter 209.99.186[.]235, die Domain cdnorigin[.]net und den genannten Agenten-Hash. The Hacker News hatte im April bereits über einen anderen Akteur berichtet, der dieselbe Zielklasse bearbeitete. Damals hatte Censys dokumentiert, dass exponierte ComfyUI-Instanzen für GPU-Leistung, Monero- und Conflux-Mining sowie einen Hysteria-Proxyknoten zur Weitervermietung missbraucht wurden. Laut dem jetzt veröffentlichten XLab-Bericht geht NadMesh deutlich breiter vor – und zielt nicht auf die Rechenleistung des Systems, sondern auf das, womit sich der kompromittierte Host anmelden kann.