Los investigadores de ciberseguridad están llamando la atención sobre una nueva campaña de criptojacking de Linux que se dirige a servidores Redis de acceso público.
La actividad maliciosa ha sido nombrada en código Redisraider por Datadog Security Labs.
“Redisraider escanea agresivamente porciones aleatorias del espacio IPv4 y utiliza comandos legítimos de configuración de Redis para ejecutar trabajos cron maliciosos en sistemas vulnerables”, los investigadores de seguridad Matt Muir y Frederic Baguelin dicho.
El objetivo final de la campaña es eliminar una carga útil principal basada en GO que sea responsable de desatar un minero XMRIG en sistemas comprometidos.
La actividad implica el uso de un escáner a medida para identificar servidores REDIS accesibles públicamente en Internet y luego emitir un comando de información para determinar si las instancias se ejecutan en un host de Linux. Si se encuentra que es el caso, el algoritmo de escaneo procede a abusar del comando set de Redis para inyectar un trabajo cron.
El malware luego usa el comando de configuración para cambiar el directorio de trabajo redis a “/etc/cron.d” y escribir en la ubicación a archivo de base de datos Llamado “Apache” para que sea elegido periódicamente por el planificador de Cron y ejecuta un script de shell codificado Base64, que posteriormente descarga el binario Redisraider desde un servidor remoto.
La carga útil esencialmente sirve como cuentagotas para una versión a medida de XMRIG y también propaga el malware a otras instancias de Redis, ampliando efectivamente su alcance y escala.
“Además del criptojacking del lado del servidor, la infraestructura de Redisraider también organizó un Monero Miner basado en la web, lo que permite una estrategia de generación de ingresos múltiples”, dijeron los investigadores.
“La campaña incorpora medidas sutiles anti-forenses, como la configuración de tiempo de vida corta (TTL) y los cambios de configuración de la base de datos, para minimizar la detección y obstaculizar el análisis posterior a la incidente”.
La divulgación se produce cuando Guardz reveló los detalles de una campaña específica que explota protocolos de autenticación heredados en Microsoft Entra ID a cuentas de fuerza bruta. Se ha encontrado que la actividad, observada entre el 18 de marzo y el 7 de abril de 2025. BAV2ROPC (Abreviatura de “Autenticación básica Versión 2 – Credencial de contraseña del propietario de recursos”) para evitar defensas como autenticación multifactor (MFA) y acceso condicional.
“El seguimiento y la investigación revelaron intentos de explotación sistemáticos que aprovecharon las limitaciones de diseño inherentes de BAV2ROPC, que precedieron a las arquitecturas de seguridad contemporáneas”, Elli Shlomo, jefe de investigación de seguridad en Guardz, dicho. “Los actores de amenaza detrás de esta campaña mostraron una comprensión profunda de los sistemas de identidad”.
Se dice que los ataques se originaron principalmente de Europa del Este y las regiones de Asia y el Pacífico, principalmente dirigidos a cuentas de administración utilizando puntos finales de autenticación heredados.
“Si bien los usuarios regulares recibieron la mayor parte de los intentos de autenticación (50,214), las cuentas de administración y los buzones compartidos se dirigieron a un patrón específico, con cuentas de administración que recibieron 9,847 intentos en 432 IPS durante 8 horas, lo que sugiere un promedio de 22.79 intentos por IP y una velocidad de 1,230.87 intentos por hora por hora”, dijo la compañía.
“Esto indica una campaña de ataque altamente automatizada y concentrada diseñada específicamente para comprometer cuentas privilegiadas mientras mantiene una superficie de ataque más amplia contra usuarios regulares”.
Esta no es la primera vez que se han abusado de los protocolos heredados por actividades maliciosas. En 2021, Microsoft divulgado Una campaña de compromiso de correo electrónico comercial a gran escala (BEC) que utilizó BAV2ROPC e IMAP/POP3 para eludir los datos de correo electrónico de MFA y exfiltrarse.
Para mitigar los riesgos planteados por tales ataques, se recomienda bloquear la autenticación heredada a través de una política de acceso condicional, deshabilitar BAV2ROPC y apagar la autenticación SMTP en Exchange Online si no está en uso.
About the Author
