RedTail Cryptojacking: Comprendre et Protéger Votre Infrastructure Contre cette Menace Discrète

Célestine Rochefour

RedTail Cryptojacking: La Menace Silencieuse qui Vole vos Ressources Informatiques

En 2025, alors que les attaques de rançonnage monopolisent l’attention des médias de la cybersécurité, une menace plus discrète mais tout aussi préoccupante gagne en popularité : le cryptojacking. Parmi les malwares les plus observés cette année, RedTail se distingue par sa capacité à infiltrer discrètement les systèmes, à s’installer en douce et à utiliser les ressources de calcul pour miner des cryptomonnaies, en particulier Monero. Selon une étude récente publiée en 2025, le cryptojacking a représenté 23% de toutes les malwares détectées dans les environnements d’entreprise, avec une augmentation de 15% par rapport à l’année précédente. Cette approche subtile permet aux attaquants de générer des revenus sans alerter leurs victimes, contrairement aux attaques de rançonnage qui perturbent immédiatement les opérations.

Néanmoins, le cryptojacking, et particulièrement RedTail, n’est pas simplement une nuisance mineure. Cette menace détourne des ressources précieuses, augmente les coûts énergétiques, peut ralentir les systèmes critiques et, dans certains cas, servir de cheval de Troie pour des attaques plus sophistiquées. Dans cet article, nous explorerons en détail le fonctionnement de RedTail, ses techniques d’infiltration et de persistance, ainsi que des stratégies de défense adaptées pour protéger votre infrastructure contre cette menace discrète mais persistante.

Comprendre RedTail: Évolution et Fonctionnement du Malware

RedTail, un malware de cryptojacking identifié pour la première fois début 2024, a évolué pour devenir l’une des menaces les plus persistantes observées dans les environnements réseau en 2025. Contrairement aux rançongiciels qui verrouillent les fichiers et exigent une rançon immédiate, RedTail opère en silence, s’installant discrètement sur les systèmes compromis pour exploiter leurs capacités de calcul à des fins minières. Cette approche furtive permet aux attaquants de générer des revenus continus sans alerter leurs victimes, qui remarquent souvent seulement un ralentissement général des performances système.

Mécanismes d’Infiltration Initiale

RedTail utilise principalement deux vecteurs d’attaque pour infiltrer les systèmes :

  1. Brute-force SSH : Les attaquants scannent les réseaux à la recherche de serveurs avec des mots de passe faibles ou par défaut. Une fois les identifiants obtenus, ils se connectent et commencent leur processus d’installation.

  2. Exploitation de vulnérabilités : RedTail exploite des failles logicielles connues pour s’introduire sans nécessiter d’authentification. En 2025, les vulnérabilités dans les services web et les systèmes de gestion de base de données ont été particulièrement ciblées.

Une fois l’accès initial obtenu, RedTail déploie des scripts d’installation configurés pour établir la persistance et lancer le processus de minage. Ces scripts, souvent nommés clean.sh et setup.sh, sont essentiels à l’opération du malware, car ils préparent l’environnement, suppriment les concurrents potentiels et s’assurent que le minage se déroule sans interruption.

Le Choix de Monero comme Cible Minière

RedTail est spécifiquement conçu pour miner la cryptomonnaie Monero (XMR), un choix stratégique pour plusieurs raisons :

  • Anonymat : Monero utilise des technologies avancées de confidentialité (adresses ring signatures, transactions confondues et mixins) qui rendent le suivi des transactions extrêmement difficile.

  • Preuve de travail accessible : Contrairement à Bitcoin qui nécessite des hardware spécialisés (ASICs), Monero peut efficacement être miné avec des CPU standard, ce qui rend les attaques par cryptojacking particulièrement rentables.

  • Stabilité : Monero a conservé une valeur relativement stable depuis sa création, offrant aux attaquants une source de revenus prévisible.

Dans la pratique, les attaquants configurent les systèmes compromis pour se connecter à des pools de minage privés où les ressources de plusieurs victimes sont combinées pour maximiser la rentabilité. Ces pools utilisent des protocoles standardisés comme Stratum pour coordonner le travail et distribuer les récompenses.

Cartographie des Techniques d’Attaque avec le Cadre MITRE ATT&CK

Pour efficacement défendre contre RedTail, il est essentiel de comprendre non seulement les signatures spécifiques du malware, mais aussi les techniques et procédures (TTPs) qu’il emploie. Le cadre MITRE ATT&CK offre un langage commun pour décrire ces comportements d’attaque et permet aux équipes de sécurité de développer des stratégies de détection et de réponse plus robustes.

Phases Pré-Attaque (PRE-ATT&CK)

Bien que les phases initiales de l’attaque ne soient pas toujours visibles dans les journaux système, les activités ultérieures observées dans les honeypots indiquent clairement leur existence :

Reconnaissance

Les attaquants commencent par scanner des plages d’adresses IP à la recherche de services exposés. Cette activité est classée sous T1595.001 : “Scanning IP Block” dans le cadre MITRE ATT&CK. Les outils utilisés incluent des scanners de ports comme Nmap et des scripts personnalisés pour identifier les vulnérabilités potentielles. Dans nos observations, les attaquants ciblent spécifiquement les services SSH, HTTP et MySQL, privilégiant les serveurs avec des configurations de sécurité laxistes.

Arme

Après avoir identifié des cibles potentielles, les attaquants développent ou conditionnent leurs charges utiles malveillantes pour RedTail. Cette activité correspond à T1587.001 : “Develop Capabilities – Malware”. En 2025, nous avons observé une évolution dans les techniques d’empaquetage, avec une utilisation accrue d’obfuscateurs et de techniques de polynésie pour contourner les solutions de sécurité basées sur la signature.

Phases d’Attaque Principale (ATT&CK)

Les phases principales d’attaque de RedTail peuvent être décomposées en plusieurs étapes clés, chacune utilisant des techniques spécifiques pour établir et maintenir l’accès au système compromis.

Livraison (Deliver)

La phase de livraison implique initialement l’accès au système, suivie de l’exécution des scripts préparationnels et l’établissement de la persistance.

  • Accès Initial (T1078.002) : Dans nos honeypots, les attaquants ont tenté des connexions SSH par brute-force avant de finalement réussir en utilisant des identifiants valides obtenus précédemment. Cette technique exploite les comptes utilisateurs avec des mots de passe faibles ou réutilisés.

  • Exécution (T1059.004) : Une fois l’accès obtenu, les attaquants exécutent les scripts clean.sh et setup.sh via un interpréteur de commandes Unix Shell. Ces scripts préparent l’environnement pour le minage et suppriment toute concurrence.

  • Persistance (T1098.004) : Pour s’assurer un accès futur sans nécessiter de nouvelles authentifications, les attaquants injectent leurs propres clés SSH dans le fichier ~/.ssh/authorized_keys. Cette technique permet aux attaquants de revenir à volonté, contournant ainsi les contrôles de mot de passe.

Exploitation à Exécution (Exploit to Execute)

Cette phase couvre les activités des attaquants une fois l’accès établi, avant le lancement effectif du processus de minage.

  • Évasion de Défense (T1070.004) : Les attaquants suppriment des fichiers pour couvrir leurs pistes. Nous avons observé la suppression des journaux d’activité et des fichiers temporaires après l’installation réussie de RedTail.

  • Découverte (T1082) : Avant de déployer RedTail, les attaquants interrogent les informations système pour confirmer la compatibilité du système cible. Cette vérification inclut l’architecture du processeur, la disponibilité de ressources et la version du système d’exploitation.

Exécution et Maintien (Execute and Maintain)

La phase finale implique le lancement effectif du processus de minage et les activités associées au maintien de cet état.

  • Command and Control (T1071.001) : Une fois installé, RedTail établit une communication sortante via HTTPS (port 443) avec des serveurs de pools de minage malveillants. Cette communication utilise des protocoles standard pour coordonner le travail et recevoir les instructions de minage.

  • Impact (T1496.001) : L’impact principal de RedTail est le détournement des cycles CPU pour le minage de cryptomonnaies. Bien que subtile, cette activité crée des coûts financiers (consommation électrique supplémentaire) et de performance pour les victimes.

Observations Uniques des Honeypots

Alors que RedTail a été rapporté dans de multiples incidents, les journaux de nos honeypots ont révélé plusieurs comportements notables au-delà de l’activité de cryptojacking générique :

  • Accès SSH par brute-force : Les attaquants tentent des connexions SSH par brute-force avant de déployer RedTail, montrant que les identifiants faibles restent un vecteur d’entrée actif.

  • Configuration basée sur des scripts : Après avoir obtenu l’accès, les attaquants téléchargent et exécutent setup.sh pour configurer le mineur. Ils exécutent également clean.sh pour supprimer les processus de cryptomining concurrents, assurant ainsi que RedTail ait un usage exclusif des ressources système.

  • Persistance via des clés SSH : Les attaquants implantent leurs propres clés SSH dans ~/.ssh/authorized_keys, leur permettant de revenir sans répéter les tentatives de brute-force.

  • Évasion de défense : Les journaux enregistrent des commandes de suppression de fichiers, indiquant que les attaquants tentent de couvrir leurs traces après l’installation.

Ces observations montrent que les campagnes RedTail vont au-delà d’un simple cryptomining. Les attaquants maintiennent la persistance, éliminent la concurrence et masquent leur activité — des comportements que les défenseurs devraient utiliser lors de la construction de stratégies de détection et de réponse.

Stratégies de Défense Contre RedTail et les Malwares de Cryptojacking

Défendre efficacement contre RedTail et autres malwares de cryptojacking nécessite une approche en deux étapes : prévention et détection/réponse. Combinant des mesures proactives pour empêcher l’infiltration initiale et des capacités de détection et de réponse pour identifier et éliminer les menaces qui parviennent à contourner les défenses premières.

Prévention : La Première Ligne de Défense

La prévention reste l’approche la plus efficace pour contrer les attaques de cryptojacking. En investissant dans des mesures de sécurité robustes, les organisations peuvent réduire considérablement leur surface d’attaque et rendre l’installation de malwares comme RedTail beaucoup plus difficile pour les attaquants.

Durcissement de l’Accès

  • Authentification par clé SSH : Utilisez l’authentification par clé SSH et désactivez les connexions par mot de passe. Cette mesure élimine complètement le risque d’attaques par brute-force sur les comptes SSH.

  • Limitation des tentatives de connexion SSH : Mettez en œuvre des mécanismes de limitation des tentatives de connexion comme fail2ban pour appliquer des verrous après plusieurs échecs. Ces outils automatiquement bannent les adresses IP suspectes après un nombre défini de tentatives de connexion infructueuses.

  • Désactivation des connexions root : Désactivez les connexions root directes (PermitRootLogin no) et limitez l’accès aux comptes administrateurs uniquement lorsque nécessaire.

  • Suppression des services inutiles : Désactivez tous les services non nécessaires pour réduire la surface d’attaque. Chaque service désactivé est une potentialité d’exploitation de moins pour les attaquants.

Patching et Mises à Jour

  • Application régulière des mises à jour de sécurité : Maintenez tous les systèmes et applications à jour avec les dernières corrections de sécurité. En 2025, les vulnérabilités Zero-Day restent une préoccupation majeure, mais la plupart des attaques exploitent encore des failles connues depuis des mois.

  • Mise en place d’un programme de gestion des vulnérabilités : Utilisez des outils pour scanner, évaluer et prioriser les vulnérabilités en fonction de leur criticité et du contexte métier. Une approche basée sur les risques permet d’allouer efficacement les ressources de sécurité.

Contrôles Réseau

  • Restriction de l’accès entrant : Mettez en place des listes de contrôle d’accès (ACL) strictes pour limiter l’accès aux services critiques uniquement aux adresses IP approuvées.

  • Segmentation des réseaux : Isolez les honeypots et les systèmes exposés des actifs de production. La segmentation réseau limite la propagation des menaces et réduit l’impact potentiel d’une compromission.

  • Blocage ou sinkholing des connexions vers les pools de minage : Identifiez et bloquez les connexions vers les pools de minage connus ou utilisez le sinkholing pour rediriger ces trafics vers des systèmes surveillés. Cette technique permet non seulement de bloquer l’activité malveillante mais aussi de collecter des renseignements sur les campagnes actives.

Détection et Réponse : Capturer ce qui Échappe

Malgré les meilleures mesures de prévention, certaines menaces peuvent encore contourner les défenses. Une capacité robuste de détection et de réponse est essentielle pour identifier et éliminer rapidement les compromissions.

Visibilité

  • Activation de la journalisation détaillée : Activez la journalisation détaillée pour SSH, les processus et le trafic réseau sortant. Ces journaux sont essentiels pour détecter les activités anormales et reconstruire la chronologie d’une attaque.

  • Surveillance des ressources système : Surveillez le CPU, la mémoire et les E/S disque pour détecter les pics de charge anormalement persistants. Le cryptojacking se manifeste souvent par une utilisation CPU élevée et constante qui ne correspond pas aux activités métier attendues.

  • Mise en place de systèmes de détection d’intrusion (IDS) : Utilisez des solutions IDS pour surveiller le trafic réseau et détecter les schémas d’activité suspects. Les IDS basés sur l’analyse comportementale sont particulièrement efficaces pour identifier les malwares comme RedTail qui n’ont pas de signatures connues.

Détection Basée sur les TTP

  • Surveillance des tentatives de brute-force : Surveillez les tentatives de connexion répétées et infructueuses, en particulier pour les services SSH. Ces activités sont souvent les premières étapes d’une campagne de cryptojacking.

  • Surveillance des modifications non autorisées de ~/.ssh/authorized_keys : Mettez en place des alertes pour toute modification non autorisée du fichier authorized_keys, qui est une technique courante de persistance pour RedTail.

  • Détection de la création de services systemd inhabituels : Surveillez la création de nouveaux services systemd, en particulier ceux avec des noms génériques ou des descriptions vagues. RedTail utilise souvent des services systemd pour s’assurer sa persistance au redémarrage du système.

  • Surveillance du trafic sortant chiffré vers des pools privés : Surveillez les connexions sortantes chiffrées vers des domaines ou adresses IP inconnus ou suspects. RedTail communique avec des pools de minage via HTTPS pour recevoir des instructions et transmettre les résultats du minage.

Actions de Réponse

  • Isolement immédiat des hôtes compromis : En cas de détection d’une infection, isolez immédiatement l’hôte compromis du réseau pour empêcher la propagation potentielle et collecter des preuves. L’isolement peut impliquer la déconnexion physique ou la mise en quarantaine via des contrôles réseau.

  • Suppression des clés SSH des attaquants : Identifiez et supprimez toutes les clés SSH non autorisées du fichier authorized_keys pour éliminer la persistance de l’attaquant.

  • Termination des processus de minage : Identifiez et terminez tous les processus suspects associés au minage de cryptomonnaies. Ces processus peuvent être identifiés par leur utilisation CPU élevée et leurs connexions réseau vers des pools de minage.

  • Reconstruction des systèmes compromis : Après élimination de la menace, reconstruissez les systèmes compromis à partir d’images propres pour s’assurer qu’aucune composante malveillante ne persiste. La reconstruction complète est souvent nécessaire car les malwares modernes peuvent se cacher dans des zones difficiles à détecter.

Surveillance Continue

  • Surveillance des tentatives de réinfection : Continuez de surveiller les systèmes pour détecter les tentatives de réinfection par les mêmes vecteurs d’attaque. Les attaquants peuvent revenir tenter d’exploiter les mêmes vulnérabilités si elles n’ont pas été corrigées.

  • Utilisation de honeypots : Déployez et maintenez des honeypots pour capturer de nouveaux TTPs et les intégrer dans vos défenses. Les honeypots permettent de collecter des renseignements précieux sur les méthodes d’attaque émergentes avant qu’elles ne deviennent une menace généralisée.

Cas Concret: Protection d’une Infrastructure Française Contre RedTail

En mars 2025, une entreprise française spécialisée dans les services cloud a détecté une activité suspecte sur plusieurs de ses serveurs de test. Les ingénieurs ont observé une utilisation CPU anormalement élevée, atteignant jusqu’à 85% en permanence, sans correspondre avec les charges de travail attendues. Après investigation, l’équipe de sécurité a identifié une infection par RedTail qui s’était installée via une vulnérabilité non corrigée dans l’interface d’administration d’une application web interne.

Le processus d’investigation a révélé que l’attaque avait suivi le schéma décrit précédemment : les attaquants avaient d’abord exploité la vulnérabilité web pour obtenir un accès initial, puis avaient installé RedTail via un script exécuté via une shell inversée. Une fois installé, le malware avait établi sa persistance en ajoutant une entrée dans le crontab et en configurant un service systemd pour s’assurer son redémarrage automatique.

La réponse de l’entreprise a été rapide et méthodique :

  1. Isolement immédiat : Les serveurs infectés ont été immédiatement isolés du réseau principal pour prévenir la propagation.

  2. Analyse forensique : L’équipe de sécurité a collecté des images complètes des systèmes pour analyse, en se concentrant sur les processus actifs, les connexions réseau et les modifications système.

  3. Suppression de la menace : Les clés SSH non autorisées ont été supprimées, les processus malveillants ont été terminés, et les scripts d’installation ont été identifiés et supprimés.

  4. Reconstruction des systèmes : Tous les systèmes compromis ont été reconstruits à partir d’images propres, avec une validation rigoureuse avant leur remise en production.

  5. Renforcement des défenses : L’entreprise a mis en place des contrôles supplémentaires, notamment un programme de gestion des vulnérabilités renforcé et une surveillance plus étroite des ressources système.

Ce cas illustre l’importance d’une approche multicouche pour la défense contre RedTail. Sans une combinaison de prévention (patching des vulnérabilités), de détection (surveillance des ressources système) et de réponse rapide (isolement et reconstruction), l’entreprise aurait continué à subir des pertes de performance et des coûts énergétiques croissants.

Conclusion : Vers une Défense Active Contre le Cryptojacking

Le cryptojacking, et en particulier RedTail, représente une menace significative pour les organisations en 2025. Contrairement aux rançongiciels qui causent des perturbations immédiates et évidentes, le cryptojacking opère en silence, volant des ressources et augmentant les coûts sans nécessairement alerter les victimes. Cependant, comme nous l’avons vu, cette menace n’est pas simplement une nuisance mineure. Elle peut servir de cheval de Troie pour des attaques plus sophistiquées et causer des impacts significatifs sur les performances et les finances des organisations.

La défense efficace contre RedTail nécessite une approche holistique combinant prévention, détection et réponse. En renforçant les contrôles d’accès, en maintenant les systèmes à jour, en mettant en place une surveillance proactive et en étant préparé à répondre rapidement aux incidents, les organisations peuvent considérablement réduire leur risque d’infection par ce malware et d’autres menaces similaires.

Dans le paysage de cybersécurité en constante évolution, la vigilance reste la meilleure défense. En comprenant les TTPs utilisés par des menaces comme RedTail et en adaptant continuellement nos stratégies de défense, nous pouvons mieux protéger nos infrastructures critiques et préserver la confiance de nos utilisateurs et clients.