Atacs de botnet de GoBruteforcer
Una onada renovada d'activitat de GoBruteforcer està atacant activament bases de dades associades amb projectes de criptomoneda i blockchain. Els atacants estan cooptant servidors vulnerables en una botnet distribuïda capaç de realitzar atacs de força bruta a gran escala contra serveis comuns, com ara FTP, MySQL, PostgreSQL i phpMyAdmin en sistemes Linux.
Aquesta campanya no és indiscriminada. L'evidència mostra un clar enfocament en la infraestructura vinculada als ecosistemes blockchain, cosa que reflecteix tant la motivació financera com l'abundància d'entorns de desenvolupament mal assegurats en aquest sector.
Taula de continguts
Per què aquesta campanya està guanyant impuls
Dues tendències convergents estan alimentant l'augment actual. En primer lloc, els administradors reutilitzen cada cop més guies de desplegament i exemples de servidor generats per IA, molts dels quals repliquen els mateixos noms d'usuari i credencials predeterminats febles que es troben en tutorials i documentació en línia. En segon lloc, les piles web heretades, en particular les instal·lacions de XAMPP, continuen implementant-se amb serveis FTP exposats i interfícies administratives que no tenen un enduriment adequat.
Juntes, aquestes condicions proporcionen als atacants una superfície d'atac predictible i fèrtil.
De 2023 Origins a una variant més perillosa de 2025
GoBruteforcer, també conegut com a GoBrut, es va documentar inicialment el març del 2023. Les primeres investigacions van descriure una família de programari maliciós basat en Golang dissenyat per a sistemes tipus Unix en arquitectures x86, x64 i ARM. Desplegava un bot IRC per a comandament i control, instal·lava un shell web per a accés remot persistent i recuperava un mòdul de força bruta per escanejar hosts vulnerables addicionals.
El setembre del 2025, els investigadors van descobrir que parts de la botnet operaven conjuntament amb una altra soca de programari maliciós, SystemBC, cosa que indicava una infraestructura compartida o un control coordinat.
A mitjans del 2025 es va produir un salt tècnic significatiu. Els analistes van identificar una variant més avançada que presentava un bot d'IRC molt ofuscat reescrit a Golang, mecanismes de persistència millorats, capacitats d'emmascarament de processos i llistes de credencials gestionades dinàmicament que es podien actualitzar sota demanda.
Estratègia de credencials modelada per la IA i els hàbits dels desenvolupadors
El component de força bruta del programari maliciós es basa en combinacions seleccionades de noms d'usuari i contrasenyes comunes com ara "myuser:Abcd@123" o "appeaser:admin123456". No són seleccions aleatòries. Moltes provenen de tutorials de bases de dades, documentació d'allotjament i exemples de proveïdors, materials que s'han ingerit àmpliament en grans corpus d'entrenament de models de llenguatge. Com a resultat, les eines d'IA sovint reprodueixen els mateixos valors predeterminats en els fragments de configuració generats, estandarditzant involuntàriament les credencials febles entre implementacions.
Els noms d'usuari addicionals de la rotació fan referència a fluxos de treball de criptomoneda (com ara "cryptouser", "appcrypto", "crypto_app" i "crypto") o es dirigeixen específicament a entorns phpMyAdmin, com ara "root", "wordpress" i "wpuser".
Els atacants mantenen un conjunt de contrasenyes relativament petit i estable per a cada campanya, actualitzant les llistes per tasca des d'aquesta base mentre roten els noms d'usuari i les addicions de nínxol diverses vegades per setmana. Els atacs FTP es tracten de manera diferent: el binari de bruteforcer conté un conjunt de credencials codificat que es correspon amb les piles d'allotjament web i els comptes de servei predeterminats.
La cadena d’infecció i les capacitats de les botnets
Les intrusions observades solen començar amb un servei FTP exposat a Internet en un servidor XAMPP. Un cop obtingut l'accés, els atacants carreguen un shell web PHP. Aquest shell s'utilitza per obtenir i executar un bot IRC actualitzat mitjançant un script de shell adaptat a l'arquitectura de l'amfitrió.
Després d'un compromís, un sistema infectat es pot reutilitzar de diverses maneres:
- Executa mòduls de força bruta per intentar inicis de sessió contra serveis FTP, MySQL, PostgreSQL i phpMyAdmin a través d'Internet.
- Allotja i distribueix càrregues útils malicioses a màquines recentment compromeses.
- Proporciona punts finals de comandament i control d'estil IRC o funciona com a servidor C2 de reserva per millorar la resiliència de la botnet.
Evidència directa d’operacions centrades en blockchain
Una investigació més detallada va revelar que almenys un servidor compromès estava instal·lant un mòdul especialitzat dissenyat per iterar a través d'una llista d'adreces de blockchain TRON. Mitjançant el servei públic tronscanapi.com, el programari maliciós consultava els saldos dels comptes per identificar moneders que contenien fons diferents de zero. Aquesta capacitat suggereix fermament un reconeixement deliberat dirigit a projectes de blockchain i infraestructures relacionades amb les criptomonedes en lloc d'un escaneig oportunista per si sol.
Una lliçó persistent per als defensors
GoBruteforcer il·lustra una fallada de seguretat més àmplia i contínua: la perillosa intersecció de serveis exposats, credencials febles o reciclades i eines d'atac cada cop més automatitzades. Tot i que la botnet en si mateixa no és tècnicament innovadora, els seus operadors es beneficien enormement del gran volum de servidors mal configurats que encara són accessibles a Internet públic.
Per als defensors, aquesta campanya reforça un missatge familiar però crític: eliminar les credencials predeterminades, restringir les interfícies administratives, retirar les piles heretades i tractar els exemples de desplegament generats per IA com a punts de partida no fiables en lloc de configuracions llestes per a la producció.
