una nueva ola de irbruteforcer Los ataques se han dirigido a bases de datos de proyectos de criptomonedas y blockchain para incluirlos en una botnet que es capaz de forzar contraseñas de usuario para servicios como FTP, MySQL, PostgreSQL y phpMyAdmin en servidores Linux.
«La ola actual de campañas está impulsada por dos factores: la reutilización masiva de ejemplos de implementación de servidores generados por IA que propagan nombres de usuario comunes y valores predeterminados débiles, y la persistencia de pilas web heredadas como XAMPP que exponen interfaces de administrador y FTP con un refuerzo mínimo», dijo Check Point Research en un análisis publicado la semana pasada.
GoBruteforcer, también llamado GoBrut, fue documentado por primera vez por la Unidad 42 de Palo Alto Networks en marzo de 2023, documentando su capacidad para apuntar a plataformas similares a Unix que ejecutan arquitecturas x86, x64 y ARM para implementar un bot de Internet Relay Chat (IRC) y un shell web para acceso remoto, además de buscar un módulo de fuerza bruta para buscar sistemas vulnerables y ampliar el alcance de la botnet.
Un informe posterior del equipo de Black Lotus Labs en Lumen Technologies en septiembre de 2025 encontró que una parte de los bots infectados bajo el control de otra familia de malware conocida como SystemBC también formaban parte de la botnet GoBruteforcer.
Check Point dijo que identificó una versión más sofisticada del malware Golang a mediados de 2025, que incluye un bot IRC muy ofuscado que está reescrito en el lenguaje de programación multiplataforma, mecanismos de persistencia mejorados, técnicas de enmascaramiento de procesos y listas de credenciales dinámicas.
La lista de credenciales incluye una combinación de nombres de usuario y contraseñas comunes (por ejemplo, miusuario:Abcd@123 o apaciguador:admin123456) que pueden aceptar inicios de sesión remotos. La elección de estos nombres no es casualidad, ya que se han utilizado en tutoriales de bases de datos y documentación de proveedores, todos los cuales se han utilizado para entrenar modelos de lenguaje grande (LLM), lo que les ha provocado que produzcan fragmentos de código con los mismos nombres de usuario predeterminados.
Algunos de los otros nombres de usuario de la lista están centrados en criptomonedas (p. ej., cryptouser, appcrypto, crypto_app y crypto) o se dirigen a paneles phpMyAdmin (p. ej., root, wordpress y wpuser).
«Los atacantes reutilizan un grupo de contraseñas pequeño y estable para cada campaña, actualizan las listas por tarea de ese grupo y rotan los nombres de usuario y las adiciones de nicho varias veces por semana para perseguir diferentes objetivos», dijo Check Point. «A diferencia de los otros servicios, FTP de fuerza bruta utiliza un pequeño conjunto de credenciales codificadas incrustadas en el binario de fuerza bruta. Ese conjunto integrado apunta a pilas de alojamiento web y cuentas de servicio predeterminadas».
En la actividad observada por Check Point, un servicio FTP expuesto a Internet en servidores que ejecutan XAMPP se utiliza como vector de acceso inicial para cargar un shell web PHP, que luego se utiliza para descargar y ejecutar una versión actualizada del bot IRC utilizando un script de shell basado en la arquitectura del sistema. Una vez que un host se infecta con éxito, puede tener tres usos diferentes:
- Ejecute el componente de fuerza bruta para intentar iniciar sesión con contraseña para FTP, MySQL, Postgres y phpMyAdmin en Internet.
- Alojar y servir cargas útiles a otros sistemas comprometidos, o
- Hospede puntos finales de control estilo IRC o actúe como comando y control de respaldo (C2) para mayor resiliencia.
Un análisis más detallado de la campaña ha determinado que uno de los hosts comprometidos se ha utilizado para montar un módulo que recorre en iteración una lista de direcciones de blockchain de TRON y consulta saldos utilizando el servicio tronscanapi(.)com para identificar cuentas con fondos distintos de cero. Esto indica un esfuerzo concertado para apuntar a proyectos blockchain.
«GoBruteforcer ejemplifica un problema más amplio y persistente: la combinación de infraestructura expuesta, credenciales débiles y herramientas cada vez más automatizadas», afirmó Check Point. «Si bien la botnet en sí es técnicamente sencilla, sus operadores se benefician de la gran cantidad de servicios mal configurados que permanecen en línea».
La divulgación se produce cuando GreyNoise reveló que los actores de amenazas están escaneando sistemáticamente Internet en busca de servidores proxy mal configurados que podrían brindar acceso a servicios comerciales de LLM.
De las dos campañas, una aprovechó las vulnerabilidades de falsificación de solicitudes del lado del servidor (SSRF) para apuntar a la funcionalidad de extracción de modelos de Ollama y las integraciones de webhook SMS de Twilio entre octubre de 2025 y enero de 2026. Basado en el uso de la infraestructura OAST de ProjectDiscovery, se postula que la actividad probablemente se origine en investigadores de seguridad o cazadores de recompensas de errores.
Se considera que el segundo conjunto de actividades, que comenzará el 28 de diciembre de 2025, será un esfuerzo de enumeración de gran volumen para identificar puntos finales de LLM expuestos o mal configurados asociados con Alibaba, Anthropic, DeepSeek, Google, Meta, Mistral, OpenAI y xAI. El escaneo se originó en las direcciones IP 45.88.186(.)70 y 204.76.203(.)125.
«A partir del 28 de diciembre de 2025, dos IP lanzaron una investigación metódica de más de 73 puntos finales del modelo LLM», dijo la firma de inteligencia de amenazas. «En once días, generaron 80.469 sesiones: búsqueda sistemática de reconocimiento de servidores proxy mal configurados que podrían filtrar el acceso a API comerciales».