Ataques de botnet GoBruteforcer
Una nueva ola de actividad de GoBruteforcer está atacando activamente bases de datos asociadas con proyectos de criptomonedas y blockchain. Los atacantes están incorporando servidores vulnerables a una botnet distribuida capaz de realizar ataques de fuerza bruta a gran escala contra servicios comunes, como FTP, MySQL, PostgreSQL y phpMyAdmin en sistemas Linux.
Esta campaña no es indiscriminada. La evidencia muestra un claro enfoque en la infraestructura vinculada a los ecosistemas blockchain, lo que refleja tanto la motivación financiera como la abundancia de entornos de desarrollo poco seguros en este sector.
Tabla de contenido
Por qué esta campaña está ganando impulso
Dos tendencias convergentes impulsan el auge actual. En primer lugar, los administradores reutilizan cada vez más las guías de implementación generadas por IA y los ejemplos de servidor, muchos de los cuales replican los mismos nombres de usuario y credenciales predeterminados poco fiables que se encuentran en tutoriales y documentación en línea. En segundo lugar, las pilas web heredadas, en particular las instalaciones de XAMPP, siguen implementándose con servicios FTP expuestos e interfaces administrativas que carecen de la protección adecuada.
En conjunto, estas condiciones proporcionan a los atacantes una superficie de ataque predecible y fértil.
De los orígenes de 2023 a una variante más peligrosa de 2025
GoBruteforcer, también conocido como GoBrut, se documentó inicialmente en marzo de 2023. Las primeras investigaciones describieron una familia de malware basada en Golang, diseñada para sistemas tipo Unix en arquitecturas x86, x64 y ARM. Implementaba un bot de IRC para comando y control, instalaba un shell web para acceso remoto persistente y recuperaba un módulo de fuerza bruta para escanear hosts vulnerables adicionales.
En septiembre de 2025, los investigadores descubrieron que partes de la botnet operaban en conjunto con otra cepa de malware, SystemBC, lo que indica una infraestructura compartida o un control coordinado.
Mediados de 2025 marcó un salto técnico significativo. Los analistas identificaron una variante más avanzada que incluía un bot de IRC altamente ofuscado y reescrito en Golang, mecanismos de persistencia mejorados, capacidades de enmascaramiento de procesos y listas de credenciales gestionadas dinámicamente y actualizables bajo demanda.
Estrategia de credenciales moldeada por la IA y los hábitos de los desarrolladores
El componente de fuerza bruta del malware se basa en combinaciones seleccionadas de nombres de usuario y contraseñas comunes, como "myuser:Abcd@123" o "appeaser:admin123456". Estas no son selecciones aleatorias. Muchas provienen de tutoriales de bases de datos, documentación de hosting y ejemplos de proveedores, materiales que se han incorporado ampliamente a grandes corpus de entrenamiento de modelos de lenguaje. Como resultado, las herramientas de IA suelen reproducir los mismos valores predeterminados en los fragmentos de configuración generados, estandarizando involuntariamente las credenciales débiles en las distintas implementaciones.
Los nombres de usuario adicionales en la rotación hacen referencia a flujos de trabajo de criptomonedas (como 'cryptouser', 'appcrypto', 'crypto_app' y 'crypto') o apuntan específicamente a entornos phpMyAdmin, incluidos 'root', 'wordpress' y 'wpuser'.
Los atacantes mantienen un conjunto de contraseñas relativamente pequeño y estable para cada campaña, actualizando las listas por tarea a partir de esa base, mientras rotan los nombres de usuario y las adiciones de nicho varias veces por semana. Los ataques FTP se tratan de forma diferente: el binario de fuerza bruta contiene un conjunto de credenciales codificado que se corresponde estrechamente con las pilas de alojamiento web y las cuentas de servicio predeterminadas.
La cadena de infección y las capacidades de las botnets
Las intrusiones observadas suelen comenzar con un servicio FTP expuesto a internet en un servidor XAMPP. Una vez obtenido el acceso, los atacantes cargan un shell web PHP. Este shell se utiliza para obtener y ejecutar un bot de IRC actualizado mediante un script de shell adaptado a la arquitectura del host.
Después de un compromiso, un sistema infectado puede reutilizarse de varias maneras:
- Ejecuta módulos de fuerza bruta para intentar iniciar sesión en servicios FTP, MySQL, PostgreSQL y phpMyAdmin a través de Internet.
- Aloja y distribuye cargas maliciosas a máquinas recientemente comprometidas.
- Proporciona puntos finales de comando y control estilo IRC o funciona como un servidor C2 de respaldo para mejorar la resiliencia de las botnets.
Evidencia directa de operaciones centradas en blockchain
Una investigación posterior reveló que al menos un servidor comprometido estaba ejecutando un módulo especializado diseñado para iterar a través de una lista de direcciones de la cadena de bloques de TRON. Utilizando el servicio público tronscanapi.com, el malware consultaba los saldos de las cuentas para identificar las billeteras con fondos distintos de cero. Esta capacidad sugiere firmemente un reconocimiento deliberado dirigido a proyectos de cadena de bloques e infraestructura relacionada con criptomonedas, en lugar de un simple escaneo oportunista.
Una lección persistente para los defensores
GoBruteforcer ilustra una falla de seguridad más amplia y continua: la peligrosa combinación de servicios expuestos, credenciales débiles o recicladas y herramientas de ataque cada vez más automatizadas. Si bien la botnet en sí no es técnicamente innovadora, sus operadores se benefician enormemente del gran volumen de servidores mal configurados que aún son accesibles en la internet pública.
Para los defensores, esta campaña refuerza un mensaje familiar pero crítico: eliminar las credenciales predeterminadas, restringir las interfaces administrativas, retirar las pilas heredadas y tratar los ejemplos de implementación generados por IA como puntos de partida no confiables en lugar de configuraciones listas para producción.
