Verkeerd ingestelde installaties van het programma rTorrent worden actief aanvallen om Linux-systemen met een cryptominer te infecteren, zo waarschuwt netwerkbedrijf F5. RTorrent is een tekstgebaseerde torrentclient voor het downloaden van torrents. Het kan via XML-RPC door andere programma's worden bestuurd. XML-RPC is een remote procedure call (RPC) protocol.

Zo is er ruTorrent, een webgebaseerde frontend die via XML-RPC van rTorrent gebruikmaakt. Voor de XML-RPC-communicatie vereist rTorrent geen authenticatie. De functionaliteit hoort dan ook niet via internet toegankelijk te zijn, omdat derden dan zonder authenticatie met de lokale rTorrent-client kunnen communiceren. Daarnaast ondersteunt rTorrent een methode voor het direct uitvoeren van shellcommando's.

Aanvallers zoeken nu actief naar verkeerd ingestelde rTorrent-clients en laten het programma vervolgens een cryptominer downloaden en uitvoeren. Deze cryptominer gebruikt de rekenkracht van het systeem om naar de cryptovaluta Monero te mijnen. Ook kijken de aanvallers of er geen cryptominers van concurrenten draaien. Wanneer dit het geval is worden deze cryptominers gestopt. Een van de Monero-wallets die bij de aanval wordt gebruikt heeft inmiddels 3900 dollar aan Monero verzameld. RTorrent-gebruikers krijgen het advies om te controleren dat hun installatie geen commando's van buiten accepteert.