Rouge = pics d'attaque. Pic maximal le 10 mai : 33 081 événements en une journée.
La concentration massive d'attaques géolocalisées aux Pays-Bas ne reflète pas l'origine réelle des attaquants. Les 102 200 événements proviennent de l'AS51396 (Pfcloud UG / VMHeaven.io), un hébergeur de serveurs virtuels (VPS) situé à Eygelshoven. Les attaquants ont simplement loué des machines là-bas — ils peuvent être n'importe où dans le monde.
Ces hébergeurs sont conçus pour ignorer les signalements d'abus (abuse reports). Même en signalant l'IP à l'opérateur, le client malveillant n'est pas coupé. C'est leur modèle économique.
Les Pays-Bas hébergent AMS-IX, l'un des plus grands points d'échange internet au monde. Faible latence, bande passante élevée — idéal pour des scans de masse sur toute l'Europe.
Un VPS chez ce type d'hébergeur coûte quelques euros par mois, payable en cryptomonnaie sans vérification d'identité. L'attaquant ne laisse aucune trace personnelle.
| # | IP | Événements | CC | Pays | Ville | Opérateur / ASN | Score |
|---|
| Fichier | Type | Verdict | Détections | Taille | Premier vu | Lien VT |
|---|
Distribution horaire des 192 540 événements sur la période. Les créneaux 02h–06h UTC concentrent les pics d'activité bot (fuseaux asiatiques en journée).
Reconstitution de la session la plus active — IP 213.209.159.158 (AS208137 Feo Prest SRL, Augsburg DE)
Le bot tente de se connecter au serveur en SSH avec le couple identifiant/mot de passe root / 123456. Ce sont des credentials par défaut présents sur beaucoup de serveurs mal configurés. Le honeypot accepte volontairement cette connexion pour piéger l'attaquant et observer ses actions. Le client SSH utilisé (SSH-2.0-Go) trahit un script automatisé écrit en langage Go — ce n'est pas un être humain qui tape au clavier, c'est un programme qui s'enchaîne à des milliers de machines par heure.
Une fois connecté, le script exécute immédiatement une série de commandes pour recueillir des informations sur la machine qu'il vient de compromettre. L'objectif est de savoir si la cible est intéressante : quel système d'exploitation, quelle architecture processeur, combien de cœurs CPU, quelle quantité de RAM disponible. Ces informations sont cruciales pour choisir quel malware déposer (un binaire compilé pour x86_64 ne fonctionnera pas sur un processeur ARM) et pour évaluer la puissance de calcul disponible pour le cryptominage.
L'attaquant utilise le protocole SFTP (transfert de fichiers chiffré via SSH) pour déposer ses outils sur la machine. Il envoie quatre versions du même malware compilées pour quatre architectures différentes — car il ne sait pas encore exactement sur quel type de processeur tourne la machine. En envoyant toutes les versions, il s'assure qu'au moins une sera compatible. Il dépose également un script de démarrage (setup.sh) et un script de nettoyage (clean.sh).
| redtail.x86_64 | Serveurs Intel / AMD 64 bits | 36 / 61 AV |
| redtail.arm7 | Raspberry Pi, routeurs, objets connectés | 35 / 63 AV |
| redtail.arm8 | Serveurs ARM modernes | 35 / 63 AV |
| redtail.i686 | Anciens systèmes 32 bits | 38 / 63 AV |
| setup.sh | Script d'installation du mineur | 28 / 61 AV |
| clean.sh | Script d'effacement des traces | 27 / 61 AV |
Redtail est un mineur de cryptomonnaie Monero (XMR) — discret car XMR est intraçable contrairement au Bitcoin. Une fois lancé, il utilise toute la puissance du CPU de la victime pour miner à son profit.
Le script setup.sh est lancé : il rend les binaires Redtail exécutables, détecte l'architecture du système et lance la bonne version du mineur. Parallèlement, l'attaquant installe une clé SSH publique dans le fichier authorized_keys du serveur. Cela lui permettra de se reconnecter à la machine à tout moment, même si le mot de passe est changé entre-temps — c'est ce qu'on appelle une backdoor persistante. La commande supprime d'abord le dossier .ssh existant pour effacer d'éventuelles traces, puis recrée le fichier avec sa clé.
Avant de partir, l'attaquant tente d'effacer toute trace de son passage. Le script clean.sh supprime les journaux système, vide l'historique des commandes et désactive son enregistrement pour la session en cours. L'objectif est de rendre l'investigation plus difficile : si un administrateur regarde les logs, il ne doit rien trouver d'anormal.
L'attaquant se déconnecte. Toute la séquence a été réalisée en moins de 30 secondes, de manière entièrement automatisée, sans aucune interaction humaine. Le mineur Redtail tourne désormais en arrière-plan sur la machine compromise et envoie les gains en Monero vers le portefeuille de l'attaquant. La clé SSH permet un retour discret à tout moment. Sur un vrai serveur non protégé, cette attaque serait passée complètement inaperçue.