Pesquisadores de segurança cibernética detectaram uma nova campanha de cryptojacking direcionada a servidores Redis expostos publicamente na internet. Batizada de “RedisRaider” por especialistas, a campanha utiliza comandos legítimos de configuração do Redis para inserir tarefas maliciosas via cron e, assim, implantar um minerador de criptomoedas XMRig em sistemas Linux.

O ataque começa com o uso de um scanner personalizado que busca servidores Redis acessíveis na internet. Uma vez identificados, os atacantes usam o comando INFO para verificar se o Redis está rodando em Linux. Se confirmado, exploram o comando SET para injetar uma tarefa agendada (cron job). Utilizando ainda o comando CONFIG, alteram o diretório de trabalho do Redis para “/etc/cron.d”, onde é criado um arquivo de banco de dados chamado “apache”, que executa periodicamente um script codificado em Base64.

Esse script baixa o binário malicioso RedisRaider de um servidor remoto. O payload em Go serve como dropper para uma versão customizada do XMRig e também tenta se propagar para outras instâncias Redis, ampliando a campanha. Além disso, os operadores mantêm um minerador de Monero via web, diversificando suas fontes de receita ilícita.

A RedisRaider ainda adota táticas antiforenses, como uso de TTLs curtos para chaves e alterações discretas na configuração do banco de dados, dificultando a detecção e análise forense posterior. Em paralelo, outra campanha foi revelada pela Guardz, envolvendo o abuso do protocolo legado BAV2ROPC no Microsoft Entra ID para realizar ataques de força bruta a contas privilegiadas, principalmente na Europa Oriental e região Ásia-Pacífico, contornando proteções como MFA e acesso condicional.