Kubernetes, contenedores y 13 millones de conexiones: ¿quién construyó y con qué objetivo una máquina industrial para escanear Internet?
La actividad comenzó antes de que se enteraran los más afectados.
En Francia se detectó una infraestructura de escaneo inusualmente potente, que en tres meses llegó a realizar millones de sesiones de red y casi no dejó señales de carga. Según Greynoise Labs, no se trata del habitual conjunto de servidores para probar vulnerabilidades, sino de un clúster completo, construido según estándares industriales y que funciona como un único mecanismo.
La red, vinculada al sistema autónomo AS211590 y a la empresa Bucklog SARL, se desplegó en París en un rango de 256 direcciones IP. El análisis mostró que todos los nodos usan la misma configuración e imagen del sistema, y que parte de los servidores están agrupados en un clúster de Kubernetes con despliegue automático. Los certificados y las huellas de red indican una gestión centralizada y una disciplina estricta de operación.
En 90 días la infraestructura generó alrededor de 13 millones de conexiones. La carga principal recayó en apenas nueve nodos, que distribuían el tráfico de forma equilibrada. Ese equilibrio es característico de la orquestación de contenedores y sugiere una arquitectura preconfigurada, no una actividad caótica.
El objetivo principal de las operaciones es la recolección de credenciales. El sistema busca masivamente archivos de configuración, incluidos .env, .git y otras fuentes de secretos. Esas búsquedas representaron más de seis millones de solicitudes. Además, el clúster inspecciona directorios del sistema, extrae parámetros de servidores y comprueba el acceso a claves en la nube.
Una línea separada es el ataque a la plataforma de automatización n8n. Más de un millón de solicitudes están relacionadas con la vulnerabilidad CVE-2026-21858, que permite obtener archivos sin autorización. Para su explotación se emplean solicitudes POST con un conjunto característico de encabezados. La actividad parece formar parte de una cadena: primero buscan puntos accesibles y luego pasan a escenarios más complejos.
Además, el sistema emplea la elusión de mecanismos de protección mediante la doble codificación de URL, revisa vulnerabilidades en Laravel, WordPress y otras soluciones populares, y también presta atención a sistemas médicos de almacenamiento de imágenes. Incluso un número relativamente pequeño de esos intentos es alarmante debido a la criticidad de los objetivos.
El escaneo afecta dispositivos de red, puertas de enlace VPN y sistemas de videovigilancia. Entre los objetivos están equipos de Palo Alto, Cisco, SonicWall, así como cámaras Dahua y Hikvision. Esa selección coincide con los intereses de grupos conocidos vinculados a estructuras estatales, aunque no se puede hacer una atribución directa.
La dinámica de la actividad es ilustrativa. Tras un período de pruebas y una carga moderada en enero, el sistema aumentó drásticamente los volúmenes en febrero. El pico alcanzó casi un millón de sesiones por día. El incremento comenzó aproximadamente dos semanas antes del empeoramiento del conflicto en Oriente Medio, lo que podría indicar la preparación de la infraestructura para operaciones futuras.
Los especialistas aconsejan bloquear todo el rango de la red por completo, ya que los nodos funcionan como un único sistema. Además, recomiendan cerrar con urgencia las vulnerabilidades en n8n, limitar el acceso a archivos de servicio y comprobar si las configuraciones son accesibles a través del servidor web.
La actividad continúa, y parte de los nodos aún están entrando en operación. Si la tendencia actual se mantiene, la carga y la escala de las operaciones podrían aumentar notablemente en un futuro cercano.