Una botnet basada en Go conocida como GoBruteforcer está escaneando y comprometiendo servidores Linux a nivel global mediante fuerza bruta en contraseñas débiles en servicios expuestos como FTP, MySQL y PostgreSQL. Check Point Research ha identificado una variante de 2025 que ha infectado decenas de miles de máquinas, poniendo en riesgo a más de 50.000 servidores expuestos a internet. Los ataques explotan configuraciones predeterminadas comunes generadas por IA y sistemas heredados.
La botnet GoBruteforcer, documentada por primera vez en 2023, ha evolucionado significativamente en su versión de 2025, según detalla Check Point Research. Este malware utiliza una estructura modular que incluye web shells, descargadores, bots IRC y módulos de fuerza bruta para infiltrarse en los sistemas. Se centra en servicios como FTP, MySQL, PostgreSQL y phpMyAdmin, apuntando a credenciales débiles o predeterminadas en servidores Linux expuestos a internet. Los investigadores estiman que más de 50.000 servidores siguen siendo vulnerables, con millones de instancias expuestas: alrededor de 5,7 millones de servidores FTP, 2,23 millones de servidores MySQL y 560.000 servidores PostgreSQL que operan en puertos predeterminados. El éxito de la botnet se debe al uso generalizado de nombres de usuario sugeridos por IA como «appuser» y «myuser», junto con una base de datos de entre 375 y 600 contraseñas débiles comunes. Estas listas de credenciales coinciden con el 2,44 % de una colección de 10 millones de contraseñas filtradas, lo que hace viables los ataques a pesar de la modesta tasa de coincidencia. Un informe de Google Cloud Threat Horizons de 2024 señaló que las credenciales débiles facilitaron el 47,2 % de las brechas iniciales en la nube, subrayando la efectividad del método. El bot IRC actualizado, ahora escrito en Go y ofuscado con Garbler, reemplaza a una versión anterior basada en C. Emplea técnicas de enmascaramiento de procesos, renombrándose a «init» y ocultando argumentos para evadir la detección. Los servidores de mando y control distribuyen lotes de 200 credenciales, rotando perfiles varias veces por semana. Las máquinas infectadas escanean hasta 20 direcciones IP por segundo con bajo ancho de banda —alrededor de 64 kb/s saliente durante operaciones FTP— y ejecutan 95 hilos concurrentes en sistemas de 64 bits. Algunas campañas muestran motivos financieros, desplegando herramientas para escanear billeteras TRON y barrer tokens de Binance Smart Chain. En un servidor comprometido, los analistas recuperaron un archivo con aproximadamente 23.000 direcciones TRON, con datos on-chain que confirman robos exitosos. La botnet evita redes privadas, proveedores de nube y rangos del Departamento de Defensa de EE.UU. para minimizar riesgos de detección. También adapta los ataques por sectores, usando nombres de usuario temáticos de cripto o apuntando a pilas XAMPP con configuraciones FTP predeterminadas. Para mayor resiliencia, incluye direcciones C2 de respaldo hardcodeadas y promueve hosts infectados como relés. Los componentes se actualizan dos veces al día mediante scripts verificados con MD5. Para contrarrestar estas amenazas, los expertos recomiendan contraseñas fuertes, desactivar servicios no utilizados, autenticación multifactor y monitoreo vigilante de inicios de sesión.
