RedTail : Analyse approfondie de cette menace de cryptojacking émergente

RedTail : Une menace silencieuse qui mine votre infrastructure informatique

Dans le paysage cybercriminel actuel, si le rançongiciel occupe souvent les manchettes comme la menace la plus visible et destructrice, une autre menace discrète mais tout aussi préoccupante gagne du terrain : le cryptojacking. Parmi les acteurs de ce domaine, le maliciel RedTail se distingue par ses méthodes d’attaque sophistiquées et sa capacité à passer inaperçu tout en compromettant gravement vos ressources système. Selon des observations récoltées sur des honeypots au cours des trois derniers mois de 2025, RedTail représente une menace sérieuse qui mérite l’attention constante des équipes de sécurité informatique. Ce malware cible principalement la cryptomonnaie Monero et exploite des faiblesses d’authentification SSH pour s’installer sur les systèmes avant d’établir une persistance durable.

Comprendre RedTail : Origine et vecteurs d’attaque

Le maliciel RedTail, initialement identifié au début de l’année 2024, a évolué pour devenir une menace plus persistante et plus difficile à détecter. Contrairement aux rançongiciels qui manifestent leur présence par des demandes de rançon explicites, RedTail opère en coulisses, transformant discrètement les ressources de calcul de ses victimes en outils d’extraction de cryptomonnaies. Cette approche subtile explique en partie pourquoi le cryptojacking ne reçoit pas la même attention médiatique que d’autres menaces cybercriminelles, bien qu’il puisse causer des dommages significatifs en termes de performances système et de coûts énergétiques.

Mécanismes d’infection initiale

RedTail utilise principalement deux vecteurs d’infection pour compromettre les systèmes :

• Brute-force SSH : Les attaquants testent massivement des combinaisons d’identifiants et de mots de passe pour accéder aux systèmes via SSH. Cette méthode reste efficace face aux mots de passe faibles ou aux configurations par défaut.
• Exploitation de vulnérabilités : Le malware cible et exploite des failles de sécurité dans des logiciels spécifiques, notamment dans les systèmes PHP et les équipements réseau PAN-OS, comme l’ont révéré des chercheurs en sécurité.

Une fois l’accès initial obtenu, les attaquants déploient des scripts spécifiques pour configurer l’environnement d’exploitation et lancer les processus de minage de cryptomonnaies. Ces scripts, souvent nommés setup.sh et clean.sh, jouent un rôle crucial dans l’établissement de la persistance et l’élimination de toute concurrence potentielle.