una nueva ola de irbruteforcer Los ataques se han dirigido a bases de datos de proyectos de criptomonedas y blockchain para incluirlos en una botnet que es capaz de forzar contraseñas de sucesor para servicios como FTP, MySQL, PostgreSQL y phpMyAdmin en servidores Linux.
“La ola presente de campañas está impulsada por dos factores: la reutilización masiva de ejemplos de implementación de servidores generados por IA que propagan nombres de sucesor comunes y títulos predeterminados débiles, y la persistencia de pilas web heredadas como XAMPP que exponen interfaces de administrador y FTP con un refuerzo intrascendente”, dijo Check Point Research en un disección publicado la semana pasada.
GoBruteforcer, además llamado GoBrut, fue documentado por primera vez por la Mecanismo 42 de Palo Stop Networks en marzo de 2023, documentando su capacidad para apuntar a plataformas similares a Unix que ejecutan arquitecturas x86, x64 y ARM para implementar un bot de Internet Relay Chat (IRC) y un shell web para entrada remoto, por otra parte de apañarse un módulo de fuerza bruta para apañarse sistemas vulnerables y ampliar el ámbito de la botnet.
Un documentación posterior del equipo de Black Lotus Labs en Lumen Technologies en septiembre de 2025 encontró que una parte de los bots infectados bajo el control de otra comunidad de malware conocida como SystemBC además formaban parte de la botnet GoBruteforcer.
Check Point dijo que identificó una interpretación más sofisticada del malware Golang a mediados de 2025, que incluye un bot IRC muy ofuscado que está reescrito en el estilo de programación multiplataforma, mecanismos de persistencia mejorados, técnicas de enmascaramiento de procesos y listas de credenciales dinámicas.
La cinta de credenciales incluye una combinación de nombres de sucesor y contraseñas comunes (por ejemplo, miusuario:Abcd@123 o apaciguador:admin123456) que pueden aceptar inicios de sesión remotos. La sufragio de estos nombres no es casualidad, ya que se han utilizado en tutoriales de bases de datos y documentación de proveedores, todos los cuales se han utilizado para entrenar modelos de estilo ancho (LLM), lo que les ha provocado que produzcan fragmentos de código con los mismos nombres de sucesor predeterminados.
Algunos de los otros nombres de sucesor de la cinta están centrados en criptomonedas (p. ej., cryptouser, appcrypto, crypto_app y crypto) o se dirigen a paneles phpMyAdmin (p. ej., root, wordpress y wpuser).
“Los atacantes reutilizan un conjunto de contraseñas pequeño y estable para cada campaña, actualizan las listas por tarea de ese conjunto y rotan los nombres de sucesor y las adiciones de hornacina varias veces por semana para perseguir diferentes objetivos”, dijo Check Point. “A diferencia de los otros servicios, FTP de fuerza bruta utiliza un pequeño conjunto de credenciales codificadas incrustadas en el binario de fuerza bruta. Ese conjunto integrado apunta a pilas de alojamiento web y cuentas de servicio predeterminadas”.
En la actividad observada por Check Point, un servicio FTP expuesto a Internet en servidores que ejecutan XAMPP se utiliza como vector de entrada auténtico para cargar un shell web PHP, que luego se utiliza para descargar y ejecutar una interpretación actualizada del bot IRC utilizando un script de shell basado en la casa del sistema. Una vez que un host se infecta con éxito, puede tener tres usos diferentes:
- Ejecute el componente de fuerza bruta para intentar iniciar sesión con contraseña para FTP, MySQL, Postgres y phpMyAdmin en Internet.
- Encajar y servir cargas bártulos a otros sistemas comprometidos, o
- Hospede puntos finales de control estilo IRC o actúe como comando y control de respaldo (C2) para viejo resiliencia.
Un disección más detallado de la campaña ha determinado que uno de los hosts comprometidos se ha utilizado para copular un módulo que recorre en iteración una cinta de direcciones de blockchain de TRON y consulta saldos utilizando el servicio tronscanapi(.)com para identificar cuentas con fondos distintos de cero. Esto indica un esfuerzo concertado para apuntar a proyectos blockchain.
“GoBruteforcer ejemplifica un problema más amplio y persistente: la combinación de infraestructura expuesta, credenciales débiles y herramientas cada vez más automatizadas”, afirmó Check Point. “Si correctamente la botnet en sí es técnicamente sencilla, sus operadores se benefician de la gran cantidad de servicios mal configurados que permanecen en ringlera”.
La divulgación se produce cuando GreyNoise reveló que los actores de amenazas están escaneando sistemáticamente Internet en examen de servidores proxy mal configurados que podrían aplaudir entrada a servicios comerciales de LLM.
De las dos campañas, una aprovechó las vulnerabilidades de falsificación de solicitudes del costado del servidor (SSRF) para apuntar a la funcionalidad de extirpación de modelos de Ollama y las integraciones de webhook SMS de Twilio entre octubre de 2025 y enero de 2026. Basado en el uso de la infraestructura OAST de ProjectDiscovery, se postula que la actividad probablemente se origine en investigadores de seguridad o cazadores de recompensas de errores.
Se considera que el segundo conjunto de actividades, que comenzará el 28 de diciembre de 2025, será un esfuerzo de enumeración de gran grosor para identificar puntos finales de LLM expuestos o mal configurados asociados con Alibaba, Anthropic, DeepSeek, Google, Meta, Mistral, OpenAI y xAI. El escaneo se originó en las direcciones IP 45.88.186(.)70 y 204.76.203(.)125.
“A partir del 28 de diciembre de 2025, dos IP lanzaron una investigación metódica de más de 73 puntos finales del maniquí LLM”, dijo la firma de inteligencia de amenazas. “En merienda días, generaron 80.469 sesiones: búsqueda sistemática de inspección de servidores proxy mal configurados que podrían filtrar el entrada a API comerciales”.
