Des chercheurs en cybersécurité ont découvert une nouvelle attaque sophistiquée exploitant un serveur Redis mal sécurisé afin de déployer une porte dérobée furtive, baptisée Migo, capable de compromettre des environnements Linux tout en échappant à la détection des solutions de sécurité traditionnelles.
Une chaîne d’infection élaborée
La campagne malveillante débute par l’exploitation d’un serveur Redis exposé sur Internet sans authentification. Les attaquants injectent des clés SSH, leur permettant d’accéder à la machine ciblée. Une fois à l’intérieur, ils installent une série de binaires et de scripts obfusqués, dont le principal objectif est de télécharger et exécuter la porte dérobée Migo.
Selon l’analyse menée par les chercheurs de Aqua Security, cette porte dérobée est exclusivement conçue pour les systèmes Linux x86-64. Elle utilise plusieurs techniques d’évasion, notamment la modification des binaries système et l’installation de services persistants qui se font passer pour des processus légitimes.
Une backdoor avec des capacités avancées
Migo offre aux attaquants un contrôle à distance complet de la machine compromise. Parmi ses fonctionnalités identifiées :
L’exécution de commandes arbitraires ;
La récupération d’informations système et de configuration réseau ;
La capacité de persister après redémarrage grâce à des scripts de démarrage insérés dans le système ;
Et surtout, une furtivité avancée, avec des noms de fichiers, chemins et services soigneusement camouflés.
Les chercheurs ont identifié des fichiers comme /usr/libexec/kworker et des services nommés de manière à imiter les composants natifs de Linux, rendant leur détection bien plus complexe pour les administrateurs.
Redis, un vecteur d’attaque récurrent
Redis, souvent utilisé comme base de données en mémoire pour la mise en cache dans des environnements web et cloud, est devenu un vecteur d’attaque privilégié par de nombreux groupes malveillants en raison de ses mauvaises configurations fréquentes.
Ce cas démontre une fois de plus que l’exposition d’un Redis non sécurisé sur Internet constitue une faille critique, notamment dans des infrastructures cloud mal surveillées ou automatisées.
Pas un cas isolé : une recrudescence des attaques Linux furtives
Cette attaque s’inscrit dans une tendance inquiétante observée depuis plusieurs mois : la multiplication des malwares ciblant Linux. De plus en plus d’acteurs développent des implants furtifs spécifiquement pour les systèmes Unix, profitant de leur omniprésence dans les environnements cloud, serveurs web et conteneurs Docker.
Les attaques s’appuient sur des scripts bash, des binaire ELF obfusqués, et sur la diversion des processus standards pour prolonger leur présence dans les systèmes compromis sans alerter les EDROutil surveillant et réagissant aux menaces sur les terminaux. CrowdStrike bloque une attaque en temps réel. Gartner ou SIEMOutil de gestion des journaux et alertes de sécurité. Wazuh détecte une tentative de compromission. Elastic.
Recommandations de sécurité
Pour se prémunir contre ce type de compromission, les chercheurs d’Aqua recommandent :
De ne jamais exposer Redis sans authentification sur des interfaces publiques ;
De restreindre les accès au réseau Redis via des firewalls ou des VPNTunnel sécurisé entre deux points à travers Internet. Se connecter à distance au SI de l’entreprise. ProtonVPN ;
De mettre en place une surveillance continue des processus système et des fichiers binaires critiques ;
Et d’effectuer des scans de conformité réguliers afin de détecter tout comportement ou binaire anormal.
Conclusion
Cette campagne malveillante démontre à quel point des configurations négligées peuvent être exploitées pour infiltrer discrètement des systèmes critiques. Dans un contexte où les infrastructures cloud sont de plus en plus ciblées, la sécurisation des composants comme Redis n’est plus une option : elle est une nécessité absolue.
Source : The Hacker News, juillet 2025
Rédaction : cybersecurite.com