É por causa de uma dessas duas condições de acordo com man 2 setgroups
EPERM The calling process has insufficient privilege (the caller
does not have the CAP_SETGID capability in the user namespace
in which it resides).
EPERM (since Linux 3.19)
The use of setgroups() is denied in this user namespace. See
the description of /proc/[pid]/setgroups in
user_namespaces(7).
Eu imagino que você não esteja usando namespaces de usuário. Nesse caso, o recurso CAP_SETGID não é permitido no contêiner docker. Você precisará alterar os conjuntos de recursos dos contêineres para corrigi-lo.