Una variante evolucionada de la botnet basada en Golang está barriendo internet, comprometiendo servidores Linux, bases de datos y roba-criptomonedas mediante fuerza bruta inteligente.
La pesadilla de los administradores de sistemas Linux ha vuelto con nuevas capacidades. Investigadores de seguridad han documentado una campaña masiva de la botnet GoBruteforcer, que ha infectado a decenas de miles de servidores en todo el mundo. Esta variante 2026 no solo es más sigilosa, sino que ha ampliado su arsenal para atacar específicamente activos de criptomonedas y servidores mal configurados por IA.
Evolución Técnica: De C a Golang Puro
Originalmente detectada en 2023, la botnet ha sufrido una reescritura total.
- Código Nativo: El módulo de bot IRC, que antes estaba en lenguaje C, ha sido reescrito completamente en Go (Golang) y ofuscado con la herramienta Garbler.
- Camuflaje: El malware ahora utiliza técnicas avanzadas de enmascaramiento de procesos, cambiando su nombre a init y sobrescribiendo sus argumentos de línea de comandos para evadir la detección de herramientas de monitoreo estándar como ps o top.
El Vector de Ataque: Fuerza Bruta Dirigida
GoBruteforcer escanea agresivamente internet buscando servicios expuestos con credenciales débiles. Sus objetivos principales son:
- FTP (5.7 millones de servidores expuestos).
- MySQL (2.23 millones de servidores).
- PostgreSQL y phpMyAdmin.
El factor IA
Los investigadores notaron algo curioso. La botnet está teniendo éxito atacando servidores configurados con “recetas” generadas por Inteligencia Artificial. Al usar credenciales genéricas sugeridas por LLMs (como appuser, myuser o operatoroperator), los administradores novatos están dejando las puertas abiertas de par en par.
Impacto Financiero: Robo de Cripto
Una vez dentro, la botnet no se limita a usar el servidor para DDoS. En esta campaña, se han encontrado módulos diseñados para barrer billeteras de criptomonedas.
- Escaneo de Tron (TRX): Se encontraron archivos con más de 23,000 direcciones de Tron, confirmando que los atacantes están buscando activamente saldos en esta red y en Binance Smart Chain.
- XAMPP en la mira: La botnet tiene un foco especial en instalaciones legacy de XAMPP (paquete de servidor web), que a menudo exponen el directorio raíz por defecto vía FTP.
Recomendaciones
- Contraseñas Fuertes: Elimina cualquier usuario por defecto sugerido por tutoriales o IAs. Usa contraseñas complejas y únicas.
- Cierra Puertos: No expongas servicios de base de datos (puertos 3306, 5432) o FTP (21) a internet a menos que sea estrictamente necesario y estén protegidos por VPN.
- Monitoreo de Procesos: Vigila procesos que intenten disfrazarse como servicios del sistema (init, systemd) pero que se ejecuten desde directorios temporales o de usuario.
