شبكة بوتنت مبنية على Go تُعرف باسم GoBruteforcer تقوم بفحص واختراق خوادم لينكس عالميًا من خلال هجمات القوة الغاشمة على كلمات مرور ضعيفة في الخدمات المكشوفة مثل FTP وMySQL وPostgreSQL. اكتشفت Check Point Research متغيرًا لعام 2025 أصاب عشرات الآلاف من الآلات، مما يعرض أكثر من 50,000 خادم متصل بالإنترنت للخطر. تستغل الهجمات الإعدادات الافتراضية الشائعة من تكوينات مولدة بالذكاء الاصطناعي وإعدادات قديمة.
شبكة بوتنت GoBruteforcer، التي وثقت لأول مرة في 2023، تطورت بشكل كبير في نسختها لعام 2025، كما تفصّل Check Point Research. يستخدم هذا البرمجيات الضارة هيكلًا معياريًا يشمل web shells وdownloaders وبوتات IRC ووحدات bruteforcer للتسلل إلى الأنظمة. يركز على خدمات مثل FTP وMySQL وPostgreSQL وphpMyAdmin، مستهدفًا بيانات الاعتماد الضعيفة أو الافتراضية على خوادم لينكس المكشوفة للإنترنت. يقدر الباحثون أن أكثر من 50,000 خادم لا يزال عرضة للخطر، مع ملايين الحالات المكشوفة: حوالي 5.7 مليون خادم FTP، و2.23 مليون خادم MySQL، و560,000 خادم PostgreSQL يعمل على المنافذ الافتراضية. يعود نجاح البوتنت إلى الاستخدام الواسع لأسماء مستخدمين مقترحة بالذكاء الاصطناعي مثل «appuser» و«myuser»، إلى جانب قاعدة بيانات تحتوي على 375 إلى 600 كلمة مرور ضعيفة شائعة. تتداخل هذه قوائم البيانات الاعتمادية مع 2.44% من مجموعة من 10 ملايين كلمة مرور مسربة، مما يجعل الهجمات ممكنة رغم معدل التداخل المتواضع. أشار تقرير Google Cloud Threat Horizons لعام 2024 إلى أن البيانات الاعتمادية الضعيفة سهّلت 47.2% من الاختراقات الأولية في السحابة، مما يؤكد فعالية الطريقة. يحل البوت IRC المحدث، المكتوب الآن بلغة Go ومشفر بـGarbler، محل النسخة السابقة المبنية على C. يستخدم تقنيات إخفاء العمليات، مع إعادة تسميته إلى «init» وإخفاء الوسائط للتهرب من الكشف. توزع خوادم القيادة والسيطرة دفعات من 200 بيان اعتماد، مع تدوير الملفات الشخصية عدة مرات أسبوعيًا. تقوم الآلات المصابة بفحص ما يصل إلى 20 عنوان IP في الثانية مع عرض نطاق منخفض —حوالي 64 كيلوبت/ث outbound أثناء عمليات FTP— وتشغل 95 خيطًا متزامنًا على أنظمة 64 بت. تظهر بعض الحملات دوافع مالية، مع نشر أدوات لفحص محافظ TRON وسحب الرموز من Binance Smart Chain. في خادم مصاب واحد، استعاد المحللون ملفًا يحتوي على حوالي 23,000 عنوان TRON، مع بيانات on-chain تؤكد السرقات الناجحة. تتجنب البوتنت الشبكات الخاصة ومقدمي السحابة ونطاقات وزارة الدفاع الأمريكية لتقليل مخاطر الكشف. كما تُخصص الهجمات حسب القطاعات، مستخدمة أسماء مستخدمين ذات طابع عملات مشفرة أو استهداف أكوام XAMPP بإعدادات FTP افتراضية. لتعزيز المرونة، تشمل عناوين C2 احتياطية مشفرة مسبقًا وتروج الخوادم المصابة كمرحلات. تُحدث المكونات مرتين يوميًا عبر نصوص تم التحقق منها بـMD5. لمواجهة هذه التهديدات، يوصي الخبراء بكلمات مرور قوية وتعطيل الخدمات غير المستخدمة والمصادقة متعددة العوامل ومراقبة تسجيل الدخول بعناية.
