Una nueva ola de ataques GoBruteforcer tiene como objetivo las bases de datos de criptomonedas y proyectos blockchain, colocándolos en botnets que pueden forzar contraseñas de usuario para servicios como FTP, MySQL, PostgreSQL y phpMyAdmin en servidores Linux.
«La ola actual de campañas está siendo impulsada por dos factores: la reutilización masiva de implementaciones de servidores generados por IA que propagan nombres de usuario comunes y valores predeterminados débiles, y la persistencia de pilas web heredadas como FTP y XAMPP que exponen interfaces administrativas con mejoras mínimas», dijo Check Point Research en un análisis publicado la semana pasada.
GoBruteforcer, también conocido como GoBrut, fue documentado por primera vez por la Unidad 42 de Palo Alto Networks en marzo de 2023. Este documento documenta la capacidad de apuntar a plataformas similares a Unix que ejecutan arquitecturas x86, x64 y ARM para implementar bots de Internet Relay Chat (IRC) y shells web para acceso remoto, así como buscar módulos de fuerza bruta para buscar sistemas vulnerables y ampliar el alcance de la botnet.
Más tarde, en septiembre de 2025, el equipo Black Lotus Labs de Lumen Technologies informó que algunos de los bots infectados bajo el control de otra familia de malware conocida como SystemBC también formaban parte de la botnet GoBruteforcer.
Check Point dijo que identificó una versión más avanzada del malware Golang a mediados de 2025 que incorpora un bot IRC altamente ofuscado reescrito en un lenguaje de programación multiplataforma, mecanismos de persistencia mejorados, técnicas de enmascaramiento de procesos y una lista de credenciales dinámica.
La lista de credenciales incluye combinaciones comunes de nombre de usuario y contraseña que pueden aceptar el inicio de sesión remoto (por ejemplo, myuser:Abcd@123 o appeaser:admin123456). Estas elecciones de nombres no son una coincidencia; se utilizan en tutoriales de bases de datos y documentación de proveedores, todos los cuales se utilizan para entrenar modelos de lenguaje a gran escala (LLM) que generan fragmentos de código con el mismo nombre de usuario predeterminado.
Algunos de los otros nombres de usuario de la lista están centrados en criptografía (por ejemplo, cryptouser, appcrypto, crypto_app y crypto) o se dirigen a paneles phpMyAdmin (por ejemplo, root, wordpress y wpuser).
«Los atacantes reutilizan un grupo pequeño y estable de contraseñas para cada campaña, actualizan una lista de tareas de ese grupo y rotan los nombres de usuario y las adiciones de nichos varias veces por semana para perseguir diferentes objetivos», dijo Check Point. «A diferencia de otros servicios, FTP de fuerza bruta utiliza un pequeño conjunto de credenciales codificadas integradas en el binario de fuerza bruta. Ese conjunto integrado apunta a la pila de alojamiento web y a la cuenta de servicio predeterminada».
En la actividad observada por Check Point, un servicio FTP expuesto a Internet en un servidor que ejecuta XAMPP se utiliza como vector de acceso inicial para cargar un shell web PHP, que luego se utiliza para descargar y ejecutar una versión actualizada de un bot IRC utilizando un script de shell basado en la arquitectura del sistema. Una vez que un host se infecta con éxito, se puede utilizar para tres propósitos diferentes:
Ejecuta el componente de fuerza bruta para intentar iniciar sesión con contraseña en FTP, MySQL, Postgres y phpMyAdmin a través de Internet. alojar y entregar cargas útiles a otros sistemas comprometidos. O aloje un punto final de control estilo IRC. O actuar como comando y control de respaldo (C2) para lograr resiliencia.
Un análisis más detallado de la campaña reveló que uno de los hosts comprometidos se utilizó para montar un módulo que recorrió una lista de direcciones de blockchain de TRON, utilizó el servicio tronscanapi(.)com para consultar saldos e identificó cuentas con fondos distintos de cero. Esto muestra un esfuerzo concertado dirigido a proyectos blockchain.
«GoBruteforcer es un ejemplo de un problema más amplio y persistente: una combinación de infraestructura expuesta, credenciales débiles y herramientas cada vez más automatizadas», afirmó Check Point. «Aunque la botnet en sí es técnicamente simple, sus operadores se benefician de la gran cantidad de servicios mal configurados que permanecen en línea».
Esta divulgación se produce después de que GreyNoise revelara que los atacantes están escaneando sistemáticamente Internet en busca de servidores proxy mal configurados que podrían proporcionar acceso a servicios comerciales de LLM.
Una de las dos campañas se centró en la funcionalidad de extracción de modelos de Ollama y la integración del webhook SMS de Twilio entre octubre de 2025 y enero de 2026 utilizando una vulnerabilidad de falsificación de solicitudes del lado del servidor (SSRF). Según el uso de la infraestructura OAST por parte de ProjectDiscovery, especulamos que esta actividad probablemente se originó por investigadores de seguridad o cazadores de recompensas de errores.
El segundo conjunto de actividades, que comenzará el 28 de diciembre de 2025, se evalúa como un esfuerzo de enumeración masiva para identificar puntos finales de LLM expuestos o mal configurados relacionados con Alibaba, Anthropic, DeepSeek, Google, Meta, Mistral, OpenAI y xAI. El análisis se inició desde las direcciones IP 45.88.186(.)70 y 204.76.203(.)125.
«A partir del 28 de diciembre de 2025, dos IP comenzaron una investigación sistemática de más de 73 puntos finales del modelo LLM», dijo la firma de inteligencia de amenazas. «Durante un período de 11 días, generaron 80.469 sesiones en una sonda de reconocimiento coordinada para servidores proxy mal configurados que podrían potencialmente comprometer el acceso a las API comerciales».
Source link
