GoBruteforcer botnet-aanvallen
Een hernieuwde golf van GoBruteforcer-activiteiten richt zich actief op databases die gekoppeld zijn aan cryptocurrency- en blockchainprojecten. De aanvallers kapen kwetsbare servers in een gedistribueerd botnet dat in staat is om grootschalige brute-force-aanvallen uit te voeren op veelgebruikte services, waaronder FTP, MySQL, PostgreSQL en phpMyAdmin op Linux-systemen.
Deze campagne is niet willekeurig. Uit onderzoek blijkt een duidelijke focus op infrastructuur die verbonden is aan blockchain-ecosystemen, wat zowel financiële motieven als de overvloed aan slecht beveiligde ontwikkelomgevingen in deze sector weerspiegelt.
Inhoudsopgave
Waarom deze campagne aan momentum wint
Twee samenlopende trends liggen ten grondslag aan de huidige toename. Ten eerste hergebruiken beheerders steeds vaker door AI gegenereerde implementatiehandleidingen en servervoorbeelden, waarvan vele dezelfde zwakke standaardgebruikersnamen en -gegevens bevatten die in online tutorials en documentatie te vinden zijn. Ten tweede worden oudere webstacks, met name XAMPP-installaties, nog steeds geïmplementeerd met blootgestelde FTP-services en beheerdersinterfaces die onvoldoende beveiligd zijn.
Al deze omstandigheden samen bieden aanvallers een voorspelbaar en vruchtbaar aanvalsoppervlak.
Van de oorsprong in 2023 tot een gevaarlijkere variant in 2025.
GoBruteforcer, ook bekend als GoBrut, werd voor het eerst gedocumenteerd in maart 2023. Vroeg onderzoek beschreef een op Golang gebaseerde malwarefamilie die ontworpen was voor Unix-achtige systemen op x86-, x64- en ARM-architecturen. De malware zette een IRC-bot in voor command-and-control, installeerde een webshell voor permanente toegang op afstand en haalde een brute-force-module op om te scannen naar extra kwetsbare hosts.
In september 2025 ontdekten onderzoekers dat delen van het botnet samenwerkten met een andere malwarevariant, SystemBC, wat duidde op een gedeelde infrastructuur of gecoördineerde aansturing.
Medio 2025 vond een aanzienlijke technologische sprong plaats. Analisten identificeerden een geavanceerdere variant met een sterk versleutelde IRC-bot, herschreven in Golang, verbeterde persistentiemechanismen, mogelijkheden voor procesmaskering en dynamisch beheerde inloggegevenslijsten die op aanvraag konden worden bijgewerkt.
Credentialstrategie gevormd door AI en ontwikkelaarsgewoonten
De brute-force-component van de malware maakt gebruik van zorgvuldig samengestelde combinaties van veelvoorkomende gebruikersnamen en wachtwoorden, zoals 'myuser:Abcd@123' of 'appeaser:admin123456'. Dit zijn geen willekeurige selecties. Veel ervan zijn afkomstig uit databasehandleidingen, hostingdocumentatie en voorbeelden van leveranciers – materiaal dat op grote schaal is opgenomen in grote trainingscorpora voor taalmodellen. Als gevolg hiervan reproduceren AI-tools vaak dezelfde standaardwaarden in gegenereerde configuratiefragmenten, waardoor zwakke inloggegevens onbedoeld gestandaardiseerd worden in verschillende implementaties.
De overige gebruikersnamen in de rotatie verwijzen naar workflows voor cryptocurrency (zoals 'cryptouser', 'appcrypto', 'crypto_app' en 'crypto') of zijn specifiek gericht op phpMyAdmin-omgevingen, waaronder 'root', 'wordpress' en 'wpuser'.
Aanvallers onderhouden voor elke campagne een relatief kleine, stabiele wachtwoordenpool, waarbij ze de lijsten per taak vernieuwen vanuit die basis, terwijl ze gebruikersnamen en specifieke toevoegingen meerdere keren per week roteren. FTP-aanvallen worden anders behandeld: het brute-forceprogramma bevat een hardgecodeerde set inloggegevens die nauw aansluit op de standaard webhostingstacks en serviceaccounts.
De infectieketen en de mogelijkheden van botnets
Waargenomen inbraken beginnen meestal met een via internet toegankelijke FTP-service op een XAMPP-server. Zodra toegang is verkregen, uploaden de aanvallers een PHP-webshell. Deze shell wordt vervolgens gebruikt om een bijgewerkte IRC-bot op te halen en uit te voeren via een shellscript dat is afgestemd op de architectuur van de host.
Na een inbreuk kan een geïnfecteerd systeem op verschillende manieren opnieuw worden ingezet:
- Het voert brute-force-modules uit om inlogpogingen te doen bij FTP-, MySQL-, PostgreSQL- en phpMyAdmin-services via het internet.
- Het host en verspreidt kwaadaardige payloads naar nieuw gecompromitteerde machines.
- Het biedt command-and-control-eindpunten in IRC-stijl of fungeert als een fallback C2-server om de weerbaarheid van botnets te verbeteren.
Direct bewijs van op blockchain gerichte activiteiten
Nader onderzoek wees uit dat ten minste één gecompromitteerde server een gespecialiseerde module had draaien die was ontworpen om een lijst met TRON-blockchainadressen te doorlopen. Via de openbare service tronscanapi.com controleerde de malware accountsaldi om wallets met een saldo groter dan nul te identificeren. Deze mogelijkheid wijst sterk op doelbewuste verkenning gericht op blockchainprojecten en crypto-gerelateerde infrastructuur, in plaats van louter opportunistisch scannen.
Een belangrijke les voor verdedigers
GoBruteforcer illustreert een breder, aanhoudend beveiligingsprobleem: de gevaarlijke combinatie van blootgestelde services, zwakke of hergebruikte inloggegevens en steeds meer geautomatiseerde aanvalstools. Hoewel het botnet zelf technisch gezien niet baanbrekend is, profiteren de beheerders ervan enorm van de grote hoeveelheid verkeerd geconfigureerde servers die nog steeds toegankelijk zijn via het openbare internet.
Voor verdedigers versterkt deze campagne een bekende maar cruciale boodschap: elimineer standaard inloggegevens, beperk de beheerinterfaces, bouw verouderde systemen uit en beschouw door AI gegenereerde implementatievoorbeelden als onbetrouwbare uitgangspunten in plaats van productiegereedde configuraties.
