Una nueva y sofisticada variante de la botnet GoBruteforcer anda suelta
y se aprovecha de un problema muy actual: la reutilización masiva de ejemplos
de implementación de servidores generados por IA, que deja miles de sistemas
vulnerables a ataques.
GoBruteforcer (también llamado GoBrut) es una botnet modular, escrita en Go,
que fuerza las contraseñas de los usuarios de servicios como FTP, MySQL,
PostgreSQL y phpMyAdmin en servidores Linux. La botnet se propaga a través de
una cadena de módulos de shell web, descargador, bot de IRC y fuerza bruta.
Un nuevo
informe de Check Point Research (CPR)
detalla la evolución de esta amenaza modular en 2025, dirigida a servidores
Linux que ejecutan servicios comunes como MySQL, FTP, XAMPP y phpMyAdmin. Los
investigadores estiman que más de 50.000 servidores con conexión a internet
podrían ser vulnerables a esta última ola, que combina ataques de fuerza bruta
tradicionales con tácticas de evasión modernas.
Si bien GoBruteforcer no está basado en IA, su éxito se debe a los hábitos de
los desarrolladores que utilizan herramientas de IA. El informe destaca que
los Grandes Modelos de Lenguaje (LLM) entrenados con documentación pública
suelen regurgitar fragmentos de configuración con valores predeterminados
débiles.
Pedimos a dos LLM de renombre que nos ayudaran a crear una instancia de MySQL
en Docker. Ambos generaron fragmentos casi idénticos con patrones de nombre de
usuario estándar, señalaron los investigadores.
Los atacantes lo saben. Las listas de credenciales de la botnet están repletas
de estos mismos nombres de usuario estándar, como appuser,
myuser y appuser1234, lo que les permite burlar la seguridad en
servidores implementados por administradores inexpertos o apresurados.
«Aunque no creemos que GoBruteforcer se dirija específicamente a
instalaciones de servidores asistidas por IA, el uso generalizado de LLM
podría contribuir al éxito de los ataques de la botnet».
Al comparar la lista de credenciales utilizada en las campañas de
GoBruteforcer con una base de datos de aproximadamente 10 millones de
contraseñas filtradas, los investigadores encontraron una superposición de
aproximadamente el 2,44 %. Esto proporciona una base para un límite superior
aproximado en la cantidad de hosts que podrían aceptar una de las contraseñas
que GoBruteforcer tiene a su disposición: aproximadamente 54.600 instancias de
MySQL y 13.700 instancias de PostgreSQL.
Incluso con una baja tasa de éxito, la gran cantidad de servicios expuestos
convierte este tipo de ataque en una opción económicamente atractiva.
La campaña no se limita al secuestro de recursos; también tiene una motivación
económica. CPR observó que la botnet atacaba específicamente bases de datos de
proyectos de criptomonedas y blockchain.
En un host comprometido, los investigadores encontraron un tesoro de
herramientas de robo:
«un escáner de saldo de TRON y utilidades de ‘barrido de tokens’ de TRON y
BSC, junto con un archivo que contiene aproximadamente 23.000 direcciones de
TRON».
El análisis de blockchain confirmó lo peor:
«El análisis de transacciones en cadena que involucran las billeteras de
los receptores de los operadores de la botnet muestra que al menos algunos
de estos ataques con motivación económica tuvieron éxito».
Detectada por primera vez en 2023, la variante 2025 de GoBruteforcer ha
recibido una importante actualización interna. El módulo del bot IRC,
previamente escrito en C, ha sido reescrito completamente en Go y altamente
ofuscado.
Ahora emplea ingeniosos trucos de enmascaramiento de procesos para ocultarse a
simple vista, enmascarándose como un proceso legítimo del sistema como
init para engañar a los administradores que consultan sus
administradores de tareas.
La botnet también es sorprendentemente selectiva con sus objetivos. Emplea un
sistema «inteligente» de generación de IP que filtra las zonas peligrosas.
«Una característica notable es una lista negra integrada de 13 bloques /8
específicos históricamente asociados con el Departamento de Defensa de
EE.UU. (DoD)… Al omitirlos, el bot evita atraer atención innecesaria y
probablemente elude los honeypots del gobierno».
De igual manera, evita las principales cadenas de proveedores de nube como
AWS, considerándolas de «baja prioridad o alto riesgo» debido a sus agresivos
equipos de respuesta ante abusos.
GoBruteforcer sirve como un claro recordatorio de que los exploits avanzados
no siempre son necesarios cuando fallan las medidas básicas de higiene.
GoBruteforcer es un ejemplo perfecto de cómo los actores de amenazas utilizan
tácticas aparentemente poco sofisticadas para comprometer un gran número de
sistemas conectados a internet con relativamente poco esfuerzo.
Se insta a las organizaciones a ir más allá de las configuraciones
predeterminadas que ofrecen los asistentes de IA y a garantizar que sus
servicios conectados a internet estén protegidos con una autenticación
robusta.