Una botnet de malware llamada GoBruteforcer es capaz de comprometer servidores Linux y convertirlos en nodos automatizados de descifrado de contraseñas, según la empresa de ciberseguridad. El programa de hacking ha afectado la infraestructura utilizada por proyectos cripto, incluyendo servidores de bases de datos, servicios de transferencia de archivos y paneles de administración web.
GoBrut puede escanear internet en busca de servicios mal protegidos e intentar iniciar sesión utilizando nombres de usuario populares y contraseñas débiles. Una vez que un sistema es comprometido, se añade a una red distribuida que puede ser accedida remotamente por una red de hackers.
La botnet GoBruteforcer puede hackear contraseñas poco pensadas
Según el informe de Check Point publicado el miércoles pasado, la botnet puede superar protecciones en servicios como FTP, MySQL, PostgreSQL y phpMyAdmin. Estos programas son utilizados por startups de blockchain y desarrolladores de aplicaciones descentralizadas para gestionar datos de usuarios, lógica de aplicaciones y tableros internos.
Los sistemas hackeados por GoBrute pueden aceptar comandos de un servidor de comando y control, indicando qué servicio atacar mientras suministran credenciales para intentos de fuerza bruta. Los detalles de inicio de sesión revelados se reutilizan para acceder a otros sistemas, robar datos privados, crear cuentas ocultas y ampliar el alcance de la botnet.
Check Point también mencionó que los hosts infectados pueden ser reutilizados para alojar cargas maliciosas, distribuir malware a nuevas víctimas o convertirse en servidores de control de respaldo si el sistema principal experimenta caídas.
Muchos equipos de desarrollo actualmente, incluidos los de grandes empresas tecnológicas como Microsoft y Amazon, utilizan fragmentos de código y guías de configuración generados por modelos de lenguaje grandes (LLMs) o copiados de foros en línea.
Check Point explicó que, dado que los modelos de IA no pueden crear nuevas contraseñas y generalmente imitan lo que se les ha enseñado, hacen que los nombres de usuario y contraseñas predeterminadas sean muy predecibles, sin cambiarlas lo suficientemente rápido antes de que los sistemas se expongan a internet.
El problema se agrava aún más cuando se utilizan stacks web antiguos como XAMPP, que pueden exponer servicios administrativos por defecto y proporcionar un punto de entrada fácil para los hackers.
Las campañas de GoBruteforcer comenzaron en 2023, según Unit 42
GoBruteforcer fue documentada por primera vez en marzo de 2023 por Unit 42 de Palo Alto Networks, que detalló su capacidad para comprometer sistemas tipo Unix x86, x64 y arquitecturas ARM. El malware despliega un bot de Internet Relay Chat y una web shell, que los atacantes usan para mantener su acceso remoto.
En septiembre de 2025, investigadores de Black Lotus Labs de Lumen Technologies encontraron que una parte de las máquinas infectadas vinculadas a otra familia de malware, SystemBC, también eran nodos de GoBruteforcer. Analistas de Check Point compararon las listas de contraseñas usadas en los ataques con una base de datos de aproximadamente 10 millones de credenciales filtradas y encontraron una coincidencia de alrededor del 2,44%.
En base a esa superposición, estimaron que decenas de miles de servidores de bases de datos podrían aceptar una de las contraseñas utilizadas por la botnet. El informe Cloud Threat Horizons 2024 de Google encontró que credenciales débiles o ausentes fueron responsables del 47,2% de los vectores de acceso inicial en entornos cloud comprometidos.
La investigación revela que el reconocimiento de blockchain e IA expone datos privados
En casos donde se rastreó a GoBrute en entornos de criptomonedas, hackers de red utilizaron nombres de usuario y variantes de contraseñas relacionadas con cripto que coincidían con convenciones de nomenclatura de proyectos blockchain. Otras campañas apuntaron a paneles de phpMyAdmin vinculados a sitios WordPress, un servicio para páginas web de proyectos y tableros.
“Algunas tareas están claramente enfocadas en el sector. Por ejemplo, observamos un ataque que utilizó nombres de usuario relacionados con cripto como cryptouser, appcrypto, crypto_app y crypto. En estas ejecuciones, las contraseñas utilizadas combinaban la lista estándar de débiles con intentos específicos de cripto como cryptouser1 o crypto_user1234”, dijo Check Point, mencionando ejemplos de contraseñas.
Check Point identificó un servidor comprometido que se usaba para alojar un módulo que escaneaba direcciones de blockchain TRON y consultaba saldos a través de una API pública de blockchain para identificar wallets con fondos.
“La combinación de infraestructura expuesta, credenciales débiles y herramientas cada vez más automatizadas. Si bien la botnet en sí es técnicamente sencilla, sus operadores se benefician de la cantidad de servicios mal configurados en línea”, escribió la empresa de seguridad.
Si estás leyendo esto, ya estás un paso adelante. Mantenete ahí con nuestro boletín.
