Attacchi botnet GoBruteforcer
Una rinnovata ondata di attività di GoBruteforcer sta prendendo di mira attivamente i database associati a progetti di criptovalute e blockchain. Gli aggressori stanno cooptando server vulnerabili in una botnet distribuita in grado di eseguire attacchi brute-force su larga scala contro servizi comuni, tra cui FTP, MySQL, PostgreSQL e phpMyAdmin su sistemi Linux.
Questa campagna non è indiscriminata. I dati mostrano una chiara attenzione alle infrastrutture legate agli ecosistemi blockchain, riflettendo sia motivazioni finanziarie sia l'abbondanza di ambienti di sviluppo scarsamente protetti in questo settore.
Sommario
Perché questa campagna sta prendendo piede
Due tendenze convergenti stanno alimentando l'attuale impennata. In primo luogo, gli amministratori riutilizzano sempre più spesso guide di distribuzione ed esempi di server generati dall'intelligenza artificiale, molti dei quali replicano gli stessi deboli nomi utente e credenziali predefiniti presenti nei tutorial e nella documentazione online. In secondo luogo, gli stack web legacy, in particolare le installazioni XAMPP, continuano a essere distribuiti con servizi FTP esposti e interfacce amministrative prive di un'adeguata protezione.
Insieme, queste condizioni forniscono agli aggressori una superficie di attacco prevedibile e fertile.
Dalle origini del 2023 a una variante più pericolosa del 2025
GoBruteforcer, noto anche come GoBrut, è stato inizialmente documentato nel marzo 2023. Le prime ricerche descrivevano una famiglia di malware basata su Golang, progettata per sistemi Unix-like su architetture x86, x64 e ARM. Utilizzava un bot IRC per il comando e controllo, installava una web shell per l'accesso remoto persistente e recuperava un modulo brute force per la scansione di ulteriori host vulnerabili.
Nel settembre 2025, i ricercatori hanno scoperto che alcune parti della botnet operavano in tandem con un altro ceppo di malware, SystemBC, il che indica un'infrastruttura condivisa o un controllo coordinato.
La metà del 2025 ha segnato un significativo salto tecnologico. Gli analisti hanno identificato una variante più avanzata, caratterizzata da un bot IRC fortemente offuscato e riscritto in Golang, meccanismi di persistenza migliorati, funzionalità di mascheramento dei processi ed elenchi di credenziali gestiti dinamicamente e aggiornabili su richiesta.
Strategia delle credenziali modellata dall’intelligenza artificiale e dalle abitudini degli sviluppatori
La componente brute-force del malware si basa su combinazioni selezionate di nomi utente e password comuni, come "myuser:Abcd@123" o "appeaser:admin123456". Non si tratta di selezioni casuali. Molte provengono da tutorial su database, documentazione di hosting ed esempi di fornitori, materiali ampiamente assimilati in ampi corpora di training per modelli linguistici. Di conseguenza, gli strumenti di intelligenza artificiale riproducono spesso le stesse impostazioni predefinite nei frammenti di configurazione generati, standardizzando involontariamente credenziali deboli tra le distribuzioni.
Altri nomi utente nella rotazione fanno riferimento ai flussi di lavoro delle criptovalute (ad esempio "cryptouser", "appcrypto", "crypto_app" e "crypto") o sono specificamente destinati agli ambienti phpMyAdmin, tra cui "root", "wordpress" e "wpuser".
Gli aggressori mantengono un pool di password relativamente piccolo e stabile per ogni campagna, aggiornando gli elenchi per attività da quella base e ruotando nomi utente e aggiunte di nicchia più volte alla settimana. Gli attacchi FTP vengono trattati in modo diverso: il binario del bruteforcer contiene un set di credenziali hardcoded che si adatta in modo preciso agli stack di web hosting e agli account di servizio predefiniti.
La catena di infezione e le capacità delle botnet
Le intrusioni osservate iniziano più spesso con un servizio FTP esposto a Internet su un server XAMPP. Una volta ottenuto l'accesso, gli aggressori caricano una web shell PHP. Tale shell viene quindi utilizzata per recuperare ed eseguire un bot IRC aggiornato tramite uno script shell personalizzato in base all'architettura dell'host.
Dopo essere stato compromesso, un sistema infetto può essere riutilizzato in diversi modi:
- Esegue moduli brute-force per tentare di accedere ai servizi FTP, MySQL, PostgreSQL e phpMyAdmin su Internet.
- Ospita e distribuisce payload dannosi alle macchine appena compromesse.
- Fornisce endpoint di comando e controllo in stile IRC o funziona come server C2 di fallback per migliorare la resilienza della botnet.
Prova diretta di operazioni incentrate sulla blockchain
Ulteriori indagini hanno rivelato che almeno un server compromesso stava allestendo un modulo specializzato progettato per scorrere un elenco di indirizzi blockchain TRON. Utilizzando il servizio pubblico tronscanapi.com, il malware ha interrogato i saldi dei conti per identificare i wallet contenenti fondi diversi da zero. Questa capacità suggerisce fortemente una ricognizione deliberata mirata a progetti blockchain e infrastrutture correlate alle criptovalute, piuttosto che una semplice scansione opportunistica.
Una lezione persistente per i difensori
GoBruteforcer illustra un fallimento della sicurezza più ampio e persistente: la pericolosa intersezione tra servizi esposti, credenziali deboli o riciclate e strumenti di attacco sempre più automatizzati. Sebbene la botnet in sé non sia tecnicamente rivoluzionaria, i suoi operatori traggono enormi vantaggi dall'enorme volume di server mal configurati ancora accessibili sulla rete Internet pubblica.
Per i difensori, questa campagna rafforza un messaggio familiare ma fondamentale: eliminare le credenziali predefinite, limitare le interfacce amministrative, ritirare gli stack legacy e trattare gli esempi di distribuzione generati dall'intelligenza artificiale come punti di partenza non attendibili anziché come configurazioni pronte per la produzione.
