Investigadores de Check Point han identificado una nueva ola de actividad del botnet GoBruteforcer (GoBrut), centrada en comprometer servidores Linux vinculados a exchanges de criptomonedas, plataformas DeFi y proyectos blockchain. Una vez que el atacante toma el control del servidor, este pasa a formar parte de una red de bots utilizada para realizar ataques de fuerza bruta contra servicios críticos como FTP, MySQL, PostgreSQL y paneles de administración web como phpMyAdmin.
Foco en infraestructura de criptomonedas y paneles de administración expuestos
Según Check Point, la campaña actual de GoBruteforcer realiza un escaneo sistemático de infraestructuras asociadas al ecosistema cripto: nodos de intercambio, plataformas de aplicaciones descentralizadas (dApps) y servidores de soporte de proyectos blockchain. El objetivo es acceder a servicios de bases de datos y paneles de gestión que custodian información sensible de transacciones, claves operativas y datos de usuarios.
Los ataques contra phpMyAdmin y otros interfaces web de administración de bases de datos resultan especialmente críticos. Un acceso exitoso permite al atacante exportar bases de datos completas, manipular registros, desplegar web shells persistentes y utilizar el servidor comprometido como punto de apoyo para moverse lateralmente por la red corporativa, impactando tanto la confidencialidad como la integridad de la información.
Cómo los ejemplos generados por IA y los stacks web obsoletos amplifican el riesgo
La ofensiva de GoBruteforcer se apoya en dos debilidades estructurales. En primer lugar, la proliferación de configuraciones de ejemplo generadas por IA y tutoriales masivos reutiliza una y otra vez los mismos usuarios por defecto y contraseñas débiles. Estas configuraciones terminan, con mínimos cambios o sin ninguno, en entornos de producción de proyectos web y blockchain.
En segundo lugar, persiste un gran número de despliegues basados en stacks web obsoletos como XAMPP, instalados como solución “temporal” y que permanecen años en producción. En estos entornos es habitual encontrar servicios FTP abiertos y paneles administrativos accesibles públicamente, sin cifrado adecuado ni segmentación de red, lo que los convierte en un objetivo ideal para los escáneres automatizados del botnet.
Evolución del malware GoBruteforcer y conexión con otros botnets
GoBruteforcer fue analizado en detalle por Palo Alto Networks Unit 42 en marzo de 2023. Ya entonces era capaz de infectar sistemas tipo Unix en arquitecturas x86, x64 y ARM, desplegar un bot IRC para comando y control, instalar un web shell para acceso remoto y ejecutar un módulo de fuerza bruta que escaneaba Internet en busca de sistemas vulnerables.
En septiembre de 2025, investigaciones de Black Lotus Labs (Lumen Technologies) revelaron que parte de los equipos infectados con el malware SystemBC también formaban parte de la infraestructura de GoBruteforcer, lo que sugiere cooperación entre grupos criminales o reutilización de infraestructura. A mediados de 2025, Check Point documentó una versión aún más avanzada de GoBruteforcer, con un bot IRC fuertemente ofuscado, reescrito en un lenguaje multiplataforma, mejores mecanismos de persistencia, técnicas de ocultación de procesos y listas dinámicas de credenciales que se actualizan durante la campaña.
Listas dinámicas de contraseñas y orientación explícita al ecosistema cripto
El elemento más distintivo de las últimas variantes de GoBruteforcer es el uso de diccionarios de usuarios y contraseñas actualizables. Estos incluyen combinaciones como myuser:Abcd@123 o appeaser:admin123456, muy habituales en documentación oficial y tutoriales sobre configuración de bases de datos. Estos mismos ejemplos se utilizan para entrenar modelos de lenguaje, lo que provoca que herramientas de IA reproduzcan credenciales “de demostración” en proyectos reales.
Algunas cuentas presentes en estos diccionarios apuntan directamente al sector de las criptomonedas, con nombres como cryptouser, appcrypto, crypto_app, crypto. Otras se orientan a instalaciones típicas de CMS y phpMyAdmin, como root, wordpress, wpuser. De acuerdo con los análisis de Check Point, los operadores del botnet recurren a un conjunto relativamente reducido pero estable de contraseñas, variando los nombres de usuario y agregando variantes específicas según el tipo de objetivo. Para los ataques de fuerza bruta contra FTP, el malware incorpora un listado adicional de credenciales, codificado en el propio binario, enfocado en stacks de alojamiento web estándar y cuentas de servicio por defecto.
Cadena de ataque: de un FTP abierto a la exploración del blockchain TRON
En las campañas observadas, el acceso inicial suele lograrse a través de un servicio FTP expuesto públicamente en servidores con XAMPP. Tras adivinar o forzar la contraseña, los atacantes cargan un web shell en PHP. Este script permite descargar y ejecutar una versión actualizada del bot IRC, con scripts específicos por arquitectura para mantener la campaña activa en distintos tipos de sistemas Linux.
Una vez comprometido, el servidor se integra en el botnet y puede emplearse tanto para seguir realizando ataques de fuerza bruta a otros objetivos como para alojar módulos adicionales. En uno de los servidores analizados, los investigadores detectaron un módulo dedicado a recorrer direcciones en el blockchain TRON y consultar sus saldos a través del servicio tronscanapi[.]com, con el propósito de identificar monederos con fondos y preparar ataques posteriores contra proyectos blockchain o carteras de usuarios.
Buenas prácticas para proteger servidores Linux y proyectos de criptomonedas
Fortalecer la configuración base y eliminar stacks obsoletos
Es esencial deshabilitar o restringir fuertemente el acceso a FTP, migrando a SFTP/SSH con filtrado por IP, eliminar o aislar las instalaciones antiguas de XAMPP y cerrar el acceso público a phpMyAdmin y paneles similares, exponiéndolos solo vía VPN y reforzándolos con autenticación multifactor.
Gestión robusta de credenciales y revisión del código generado por IA
Las organizaciones deben evitar por completo los usuarios y contraseñas de ejemplo, generando credenciales únicas y complejas por servicio y almacenándolas en gestores de secretos o plataformas centralizadas de gestión de accesos. Cualquier fragmento de código o configuración obtenido de herramientas de IA o tutoriales debe pasar por una revisión de seguridad obligatoria, con foco en credenciales, servicios expuestos y valores por defecto.
Segmentación y monitoreo específicos para infraestructuras cripto y blockchain
Los proyectos relacionados con criptomonedas han de separar rigurosamente las nodos públicos, APIs internas y bases de datos, limitar al máximo el acceso a carteras con grandes saldos, priorizar hardware wallets y definir planes de respuesta rápida ante la posible comprometición de servidores o cuentas, incluyendo revocación de llaves, rotación de contraseñas y aislamiento de sistemas afectados.
GoBruteforcer ilustra cómo un malware relativamente sencillo, desarrollado en Go, puede escalar de forma masiva explotando configuraciones inseguras recurrentes y la propagación de ejemplos poco seguros en la documentación y el contenido generado por IA. Revisar con espíritu crítico las configuraciones actuales, modernizar los stacks web y profesionalizar el uso de herramientas de IA se ha convertido en un paso imprescindible para que los proyectos de criptomonedas y blockchain eviten convertirse, sin saberlo, en parte de un botnet global de fuerza bruta.
