Ha surgido una sofisticada campaña de criptojacking, explotando los servidores Redis mal configurados en múltiples continentes para implementar mineros de criptomonedas mientras desmantelan sistemáticamente las defensas de seguridad.
El actor de amenaza detrás de esta operación, designado Ta-Natalstatus, ha estado activo desde 2020, pero ha aumentado significativamente sus actividades a lo largo de 2025, apuntando a instancias de Redis expuestas con tasas de éxito alarmantes en las principales economías.
La campaña demuestra una escala sin precedentes y sofisticación técnica, con tasas de infección que alcanzan niveles alarmantes en las regiones afectadas.
En Finlandia, el 41% de los servidores de Redis se han comprometido, mientras que Rusia muestra el 39% de las tasas de infección. Alemania enfrenta una tasa de compromiso del 33%, con el Reino Unido al 27%, Francia con el 23% y los Estados Unidos informaron que el 17% de los servidores de Redis afectaron.
Captura de pantalla del sistema infectado donde las claves están configuradas en tareas cron (fuente – Cloudsek)
La distribución geográfica se extiende desde regiones de Asia-Pacífico, incluida China, que alberga más de 140,000 instancias expuestas de Redis, a la infraestructura europea y norteamericana.
Instancias de Redis CountryTotalunAuthenticated (sin autenticación) por ciento no autenticada CHINA140,17012,0308.58%Estados Unidos 50,1608,80617.56%Alemania 20,4006,85433.70%Hoguestante Kong12,7608316.51%Singapur111,7102,12618.16%India7,4562,20629.60%Países Bajos7,2491,31018.07%Rusia7,05552,80539.77%sur Corea5,9501,82030.50%Japón5,20273414.11%Francia5,1521,19623.22%unido Kingdom4,0151,08627.06%Brasil3,87888222.74%Finlandia3,0341,26641.73%Canadá2,82552718.65%V IETNAM2,48487135.06%Indonesia2,39458824.57%Australia2,22735716.02%Irlanda2,13130014.07%
Analistas de Cloudsek identificado Esta avanzada amenaza persistente a través de su monitoreo de la plataforma de Bevigil, revelando que Ta-Natalstatus ha evolucionado de una simple operación criptojacking a un marco integral de ataque de estilo rootkit.
Los actores de amenaza han actualizado sistemáticamente sus capacidades de sigilo, incorporando secuestro de procesos, ofuscación de comandos y técnicas de tiempo que transforman los servidores comprometidos en activos mineros a largo plazo y permanecen prácticamente indetectables a las herramientas de monitoreo estándar.
La metodología de ataque explota una debilidad de seguridad fundamental conocida como la técnica de “raíz por herencia”, donde los servidores Redis que se ejecutan con privilegios elevados se convierten en objetivos inmediatos para la escalada de privilegios.
En lugar de explotar las vulnerabilidades tradicionales, los atacantes aprovechan las operaciones legítimas de Redis para lograr un acceso y control persistentes.
Mecanismos avanzados de persistencia y evasión*
La estrategia de persistencia del malware representa una clase magistral en la manipulación del sistema y la evasión defensiva. Ta-NatalStatus emplea un enfoque de múltiples capas que comienza con el secuestro binario, donde las utilidades críticas del sistema se reemplazan sistemáticamente con envoltorios maliciosos.
Los atacantes cambian de nombre binarios legítimos como PS y TOP a PS.original y superior.
La secuencia de ataque implica una sofisticada manipulación de Redis a través de una serie de comandos de configuración establecidos. Los atacantes redirigen la salida de la base de datos Redis a/var/spool/cron/root e inyectan trabajos de cron maliciosos que desencadenan descargas automáticas de carga útil.
La técnica explota la capacidad de Redis para escribir archivos arbitrarios cuando se ejecutan con privilegios raíz, convirtiendo efectivamente el servicio de la base de datos en un mecanismo de entrega para la instalación persistente de malware.
Para garantizar la persistencia a largo plazo, el malware implementa la protección de archivos inmutables utilizando el comando chattr +i, lo que hace que los componentes de malware del núcleo no sean impactos incluso por los usuarios de raíz.
Esta técnica, combinada con la instalación de la puerta trasera SSH utilizando el comentario clave distintivo “UC1”, crea múltiples rutas de acceso redundantes que sobreviven al sistema de sobrevivir y los intentos básicos de limpieza.
El enfoque integral transforma los sistemas infectados en plataformas mineras resistentes que se defienden activamente contra los esfuerzos de remediación de malware y administradores competidores.
Aumente su SOC y ayude a su equipo a proteger su negocio con inteligencia gratuita de amenazas de primer nivel: Solicitar prueba de prueba premium de búsqueda TI.
