本文核心分析对象为 AS211590 自治系统对应的 Bucklog SARL 公司,该主体在法国巴黎部署了一套基于 Kubernetes 编排的扫描集群,在 90 天内发起了 1300 万次网络会话。
攻击目标包括 n8n 相关通用漏洞披露、.env 配置文件中的凭证信息、关键基础设施,相关活动或与伊朗相关冲突的攻击前置预部署行为有关。
ASN 全称自治系统号,是互联网中用于标识一个独立 IP 地址段管理主体的唯一编号,本次分析的 AS211590 对应的 IP 网段为 185.177.72.0/24。
该 BGP 前缀在欧洲 IP 网络资源协调中心 RIPE 完成注册,归属主体为 FBW Networks SAS 公司,注册地址位于法国韦利济 - 维拉库布莱市,网段分配时间为 2025 年 5 月 27 日。
本次分析的 90 天观测窗口期从 2025 年 12 月下旬开启,核心素材来自greynoise。
网络空间测绘引擎对该网段内 74 台可观测主机的探测结果显示,所有主机都运行完全相同的 Debian 12 基础镜像,该结果通过 HASSH 指纹完成全集群一致性验证。
所有主机使用完全相同的 OpenSSH 9.2p1 配置,在 22 台已确认的 Kubernetes 工作节点上,10250 端口的 JARM 指纹完全一致。
节点的 TLS 证书进一步验证了集群的标准化部署特征,每台工作节点的 kubelet 端口都提供一张自签名 TLS 证书,命名遵循统一规则,证书名称内包含顺序编排的节点 ID,时间戳与证书的生效起始时间完全匹配。25 台节点的编号与时间戳完全按顺序排列,证明集群采用自动化的生命周期管理,而非人工手动配置。
该集群选用的容器网络接口 CNI 为 Cilium。CNI 全称容器网络接口,是一套用于配置 Linux 容器网络接口的标准规范,不同的 CNI 插件可为 Kubernetes 集群提供不同的网络能力。
Cilium 是一款基于 eBPF 技术的开源 CNI 插件,可为 Kubernetes 集群提供高性能的网络、安全和可观测性能力。
集群内 2 台节点开放了 Hubble 可观测性平台的 4244 端口,共用集群内部 Cilium 证书颁发机构签发的统一证书。运营者可通过该技术栈实现细粒度的流量策略管控,同时在内核层面实时监控集群内的每一条流量链路。完整的可观测性技术栈证明该集群为长期攻击活动设计,而非一次性攻击使用。
集群内的容器组 Pod 通过集群网络层访问互联网,相关特征通过 JA4T 指纹完成验证。
JA4T 属于 JA4 系列指纹体系,是用于 TCP 客户端识别的流量指纹,相比传统 IP、用户代理等特征更难伪造。
其中出现频率最高的特征为 MSS(最大报文段长度) 数值 65495,该数值仅出现在环回接口中,该场景下的环回接口 MTU 为 65535 字节,扣除 TCP/IP 头部开销后,正好得到 65495 的 MSS 数值。
该指纹出现在 304807 次会话中,证明集群的出站连接先被路由至本地主机,再通过网络地址转换 NAT 转发至外部接口,Pod 并非直接访问互联网。
另有 32815 次会话出现了 1380 字节的 MSS 指纹。标准 Linux 环境的以太网 MTU 为 1500 字节,80 字节的开销对应 VXLAN 或 WireGuard 隧道封装,证明这部分流量在出站前经过了集群内部的加密隧道传输。
VXLAN 是一种虚拟扩展局域网技术,通过隧道封装实现二层网络在三层网络上的扩展,常用于容器和云计算环境的网络隔离。WireGuard 是一款开源的虚拟专用网络协议,以轻量化、高性能和高安全性著称,常用于加密隧道传输。
集群节点的分层与角色如下:
| 节点层级 | IP 地址范围 | 核心角色 |
|---|---|---|
| 核心工作节点 | 9 个独立 IP | 承载 96% 的全量会话 |
| 次级节点 | .61、.60、.12 | 合计承载约 39.8 万次会话 |
| 扩容上线节点 | .130 至.158 网段,约 25 个 IP | 约 1.5 万次会话,正进入生产环境 |
| 入口与控制平面节点 | .3 | 承载 nginx 入口、Envoy 代理、kubelet 等 10 项服务 |
| 管理节点 | .1、.2 | 运行 SNMP 简单网络管理协议、Elasticsearch 日志聚合服务 |
| 异常节点 | .4、.46、.89 | 开放非通用业务端口与服务 |
其中.2 节点在 9200 和 9300 端口运行 Elasticsearch 服务,可对 1300 万次会话建立索引并实现查询,让集群运维者能完整分析捕获的数据,排查攻击活动中的问题。
9 个核心工作节点 IP 承载了 1300 万次会话中的 96%,单节点负载占比在 8.7% 至 12.9% 之间均匀分布,该特征与 Kubernetes 的 DaemonSet 或 Deployment 调度结果完全一致,负载均衡度极高。
DaemonSet 是 Kubernetes 中的一种资源对象,用于确保集群中所有或指定节点上都运行一个相同的 Pod 副本。
Deployment 是 Kubernetes 中最常用的资源对象,用于声明式管理无状态应用的部署、扩缩容和版本更新。
基于观测到的用户代理 UA,梳理工具清单与用途如下。UA 全称用户代理,是 HTTP 请求中的一个头部字段,用于标识发起请求的客户端类型、版本号等信息,攻击者常伪造该字段绕过防护。
| 代理标识 | 会话数量 | 核心用途 |
|---|---|---|
| curl/8.7.1 | 11964108 次,占比 91.5% | 批量 HTTP 侦察 |
| socketburst/0.1 | 271344 次 | 端口与服务发现 |
| l9explore/1.2.2 | 242913 次 | 漏洞扫描 |
| Chrome/120,伪造标识 | 142842 次 | 浏览器指纹伪装 |
| l9tcpid/v1.1.0 | 4256 次 | TCP 服务指纹识别 |
| python-httpx/0.28.1 | 867 次 | Python HTTP 客户端请求 |
curl 承担了最高的流量负载,l9explore 与 socketburst 负责资产发现,l9tcpid 为目标列表完成服务指纹标记,伪造 Chrome UA 的流量则被选择性用于需要浏览器 UA 才能获取响应的场景。该集群形成了一套完整的攻击流水线,实现了从资产清点到规模化漏洞利用的全流程覆盖。
JA4H 指纹进一步验证了攻击工具的分工。JA4H 属于 JA4 系列指纹体系,是用于 HTTP 客户端识别的流量指纹,可精准识别攻击请求的特征,不受伪造 UA 的影响。
| JA4H 指纹 | 会话数量 | 行为解读 |
|---|---|---|
| ge11nn14enus_16e29da98f67 | 8937713 次 | GET 请求,14 个请求头,en-US 语言环境,对应核心 curl 扫描工具 |
| po11nn16enus_6291b5733205 | 2087283 次 | POST 请求,16 个请求头,en-US 语言环境,对应 n8n 漏洞利用 |
| ge11nn050000_3658ef221638 | 351749 次 | GET 请求,5 个请求头,无语言环境,对应 l9explore 工具 |
| ge11nn040000_8391bea91fb6 | 245432 次 | GET 请求,4 个请求头,无语言环境,对应 socketburst 工具 |
其中 POST 请求指纹对应的 209 万次会话,完全匹配 n8n 漏洞利用活动。POST 请求 16 个请求头、GET 请求 14 个请求头的差异,正好对应漏洞利用时新增的内容类型与载荷相关请求头。
在 90 天的观测窗口期内,该集群的活动规律完全符合专业攻防团队的部署特征,分为 5 个阶段。
-
第一阶段为集群调试,时间为 2025 年 12 月 24 日至 2026 年 1 月 2 日。日会话量低于 4000 次,以基础设施测试为主,首周总会话量仅 1167 次。
-
第二阶段为初始运营,时间为 2026 年 1 月 3 日至 1 月 11 日。日会话量 1.2 万至 8 万次,完成首轮持续扫描,1 月 5 日当周总会话量 275885 次,确立了核心攻击模式。
-
第三阶段为运营暂停,时间为 2026 年 1 月 12 日至 1 月 18 日。日会话量回落至 6000 次以下,推测为基础设施重构,或刻意的攻击节奏管控。
-
第四阶段为持续扫描,时间为 2026 年 1 月 19 日至 2 月 10 日。连续两周日会话量 1 万至 15 万次,稳步拓展攻击覆盖范围。
-
第五阶段为全面作战,时间为 2026 年 2 月 12 日至 3 月 23 日。攻击流量出现阶跃式增长,日会话量 5 万至 98.7 万次,2 月 23 日达到峰值 987094 次,较第三阶段的低谷增长了 170 倍。
第五阶段各周会话量详情如下:
| 统计周 | 总会话量 |
|---|---|
| 2 月 9 日当周 | 1508612 次 |
| 2 月 16 日当周 | 1791082 次 |
| 2 月 23 日当周 | 1983061 次 |
| 3 月 2 日当周 | 1403226 次 |
| 3 月 9 日当周 | 2608825 次 |
| 3 月 16 日当周 | 1906230 次 |
第五阶段始于 2 月 12 日,而美以与伊朗的冲突爆发于 2 月 27 日,两者存在两周的时间差,相关关联将在后文详细分析。
核心攻击行为与目标画像
(一)凭证窃取
凭证窃取是该集群的核心任务。它系统性地扫描窃取包含敏感密钥的配置文件,扫描的全面性、持续性极强,具备充足的算力与时间资源支撑。
| 攻击行为 | 会话数量 | 核心目标 |
|---|---|---|
| .env 文件窃取 | 3543359 次 | API 密钥、数据库凭证、各类敏感密钥 |
| 通用敏感文件访问 | 3161498 次 | 大范围配置文件路径模糊测试 |
| /proc 目录枚举 | 2128282 次 | 容器逃逸路径、系统信息收集 |
| Git 配置文件爬取 | 594049 次 | 代码仓库凭证、内部 URL 地址 |
| PHP info 页面探测 | 286643 次 | 服务器配置信息泄露 |
| AWS 凭证文件探测 | 173167 次 | IAM 身份与访问管理密钥、访问凭证 |
| WordPress 配置文件窃取 | 10319 次 | 数据库凭证 |
针对.env 文件的爬取覆盖了 30 余种路径变体,相关变体的总会话量约 20 万次。这是典型的目录模糊测试,集群会探测所有可能存放密钥的路径,完成探测后再转向下一个目标。
(二)n8n 漏洞定向利用
这是该集群规模最大的定向攻击活动,针对 n8n 自动化工作流端点的会话量达 1028562 次。本次攻击的核心目标为 CVE-2026-21858 漏洞。CVE 全称通用漏洞披露,是一套为公开的信息安全漏洞分配唯一编号的行业标准,每个 CVE 编号对应一个已公开的具体安全漏洞。该漏洞的 CVSS 评分为 10.0 分,属于最高严重级别,是可未授权利用的任意文件读取漏洞。CVSS 全称通用漏洞评分系统,是一套行业通用的漏洞严重程度评分标准,分值范围 0 至 10 分,10 分为最高严重级别。
该集群对约 100 个独立的路径进行模糊测试,单路径请求量约 1 万次,探测可接受未授权表单提交的 n8n 工作流端点。前文提到的 209 万次 POST 会话,完全对应这一攻击活动。
进一步关联发现,CVE-2025-68613 是 CVSS 评分 9.9 分的 n8n 远程代码执行漏洞,已有对应的利用模块。RCE 全称远程代码执行,是一种高危安全漏洞,攻击者可通过该漏洞在目标系统上执行任意代码,完全控制目标服务器。安全厂商 Akamai 将该漏洞与 ZeroBot 恶意软件、伊朗 APT 组织 MuddyWater 相关联。APT 全称高级持续性威胁,通常指具备充足资源、专业技术能力的黑客组织,针对特定目标发起的长期、有规划、高隐蔽性的网络攻击活动。
目前无法通过扫描数据将 Bucklog 集群与 MuddyWater 直接归属,但可以确认,n8n 相关漏洞正处于活跃利用状态,该集群将 n8n 作为头号定向目标,而该漏洞体系已有明确的伊朗 APT 组织利用记录。过去 3 个月内,n8n 已累计出现 22 个 CVE 漏洞,其中 10 个为严重级别,相关使用者需重点关注安全风险。
(三)防护绕过与通用漏洞利用
除凭证窃取与 n8n 攻击外,该集群还开展了大范围的漏洞利用与 Web 应用防火墙 WAF 绕过活动。WAF 全称 Web 应用防火墙,是一种用于防护 Web 应用攻击的安全设备,通过解析 HTTP 或 HTTPS 流量,拦截各类恶意请求。
| 漏洞或技术 | 会话数量 | 攻击目标 |
|---|---|---|
| CVE-2026-21858,n8n 文件读取 | 1028562 次 | 自动化工作流平台 |
| 双重 URL 编码 | 75901 次 | WAF 绕过 |
| 通用路径穿越 | 141289 次 | 本地文件包含 LFI 漏洞利用 |
| CVE-2024-29291,Laravel 框架 | 13109 次 | 凭证泄露 |
| CVE-2024-44000,WordPress LiteSpeed 插件 | 12549 次 | WordPress 站点 |
| CVE-2020-5284,Next.js 框架 | 4696 次 | 目录穿越 |
| CVE-2025-2264,Sante PACS | 4124 次 | 医疗影像 PACS 系统 |
| CVE-2017-9841,PHPUnit | 3287 次 | 远程代码执行漏洞 |
| CVE-2025-48927,TeleMessage | 2432 次 | Spring Boot 堆转储文件读取 |
LFI 全称本地文件包含,是一种安全漏洞,攻击者可通过该漏洞读取目标服务器上的本地文件,获取敏感配置、凭证等信息。
其中 7.5 万次双重 URL 编码攻击,专门针对仅执行一次 URL 解码的 WAF 规则。针对 Sante PACS 的攻击会话量虽少,但医疗影像系统属于关键基础设施,医疗机构都应排查相关系统的互联网暴露风险。
(四)关键基础设施定向探测
该集群的探测覆盖 47 种以上不同的设备指纹,目标选择具备极强的针对性,核心覆盖边界网络设备与安防监控系统。边界与 VPN 设备探测的核心目标包括 Palo Alto 下一代防火墙、SonicWall 防火墙、Cisco ASA 防火墙、pfSense 防火墙等主流厂商设备,单类设备的探测会话量最高达 24.6 万次。
安防监控系统探测的核心目标包括 TrendNet 网络摄像头、大华摄像头、Intelbras 摄像头、海康威视设备等。
攻击活动与地缘冲突的关联分析
该集群 2 月 12 日进入流量暴增的全面作战阶段,美以与伊朗的冲突 2 月 27 日爆发。在冲突爆发的 15 天前,该集群的日会话量从 15 万次跃升至近百万次。一个合理的解读是,这是攻击前置预部署行为,在冲突窗口期开启前,大范围建立攻击面覆盖,待冲突爆发后即可启动定向漏洞利用。
需特别说明,这仅为初步分析结论,现有数据无法支持将该集群直接归属于任何国家行为体。
以下指纹可低误报率识别该集群的攻击活动,相关特征难以伪造,检测可靠性高。
| 检测特征类型 | 特征值 | 备注 |
|---|---|---|
| JA4H GET 扫描主指纹 | ge11nn14enus_16e29da98f67 | 对应 890 万次核心扫描会话 |
| JA4H POST n8n 攻击指纹 | po11nn16enus_6291b5733205 | 对应 210 万次 n8n 漏洞利用会话 |
| JA4T K8s 环回路由指纹 | 65495_2-4-8-1-3_65495_7 | 对应集群 Pod 流量的核心路由特征 |
| HASSH SSH 服务端指纹 | 425d29fe50d8e4f5e37efb6e24bcf660 | 全集群 74 台节点统一特征 |
| JARM kubelet 指纹 | 3fd3fd20d00000000043d3fd3fd43d684d61a135bd962c8dd9c541ddbaefa8 | 所有 K8s 工作节点统一特征 |
同时,无论来源 IP,对双重 URL 编码的路径穿越行为均应设置告警。
后续风险预警
-
重点关注扩容上线节点。一旦.130 至.158 网段的 25 台节点全部进入生产环境,该集群的日攻击峰值将远超当前的 98.7 万次,攻击覆盖范围与规模会进一步扩大。
-
n8n 漏洞链式攻击风险极高。CVE-2026-21858 可实现未授权文件读取,CVE-2025-68613 可通过表达式执行实现远程代码执行。该集群已针对 n8n 发起超百万次扫描,可获取相关 RCE 漏洞的利用模块,对所有互联网暴露的 n8n 实例构成严重威胁。
