Botnet GoBruteforcer vise les serveurs Linux dans le monde entier

Un botnet basé sur Go connu sous le nom de GoBruteforcer scanne et compromet des serveurs Linux à l'échelle mondiale en forçant par brute force des mots de passe faibles sur des services exposés comme FTP, MySQL et PostgreSQL. Check Point Research a identifié une variante 2025 qui a infecté des dizaines de milliers de machines, mettant plus de 50 000 serveurs exposés à Internet en danger. Les attaques exploitent des valeurs par défaut courantes issues de configurations générées par IA et d'installations legacy.

Le botnet GoBruteforcer, documenté pour la première fois en 2023, a considérablement évolué dans sa version 2025, comme le détaille Check Point Research. Ce malware utilise une structure modulaire impliquant des web shells, des téléchargeurs, des bots IRC et des modules de force brute pour infiltrer les systèmes. Il cible des services tels que FTP, MySQL, PostgreSQL et phpMyAdmin, visant des identifiants faibles ou par défaut sur des serveurs Linux exposés à Internet. Les chercheurs estiment que plus de 50 000 serveurs restent vulnérables, avec des millions d'instances exposées : environ 5,7 millions de serveurs FTP, 2,23 millions de serveurs MySQL et 560 000 serveurs PostgreSQL fonctionnant sur des ports par défaut. Le succès du botnet provient de l'utilisation généralisée de noms d'utilisateurs suggérés par l'IA comme « appuser » et « myuser », ainsi que d'une base de données de 375 à 600 mots de passe faibles courants. Ces listes d'identifiants chevauchent 2,44 % d'une collection de 10 millions de mots de passe divulgués, rendant les attaques viables malgré le faible taux de chevauchement. Un rapport Google Cloud Threat Horizons de 2024 a noté que les identifiants faibles ont facilité 47,2 % des violations initiales de cloud, soulignant l'efficacité de la méthode. Le bot IRC mis à jour, désormais écrit en Go et obscurci avec Garbler, remplace une version antérieure basée sur C. Il utilise des techniques de masquage de processus, se renommant en « init » et masquant les arguments pour échapper à la détection. Les serveurs de commande et de contrôle distribuent des lots de 200 identifiants, rotatif les profils plusieurs fois par semaine. Les machines infectées scannent jusqu'à 20 adresses IP par seconde avec une faible bande passante — environ 64 kb/s en sortie pendant les opérations FTP — et exécutent 95 threads simultanés sur des systèmes 64 bits. Certaines campagnes montrent des motifs financiers, déployant des outils pour scanner les portefeuilles TRON et balayer les tokens de Binance Smart Chain. Sur un serveur compromis, les analystes ont récupéré un fichier contenant environ 23 000 adresses TRON, avec des données on-chain confirmant des vols réussis. Le botnet évite les réseaux privés, les fournisseurs de cloud et les plages du Département de la Défense américain pour minimiser les risques de détection. Il adapte également les attaques par secteur, utilisant des noms d'utilisateurs thématiques crypto ou ciblant des piles XAMPP avec des configurations FTP par défaut. Pour plus de résilience, il inclut des adresses C2 de secours codées en dur et promeut les hôtes infectés comme relais. Les composants se mettent à jour deux fois par jour via des scripts vérifiés par MD5. Pour contrer ces menaces, les experts recommandent des mots de passe forts, la désactivation des services inutilisés, l'authentification multifacteur et une surveillance vigilante des connexions.

Articles connexes

Illustration depicting the Linux CopyFail vulnerability enabling root access exploits alongside Ubuntu's DDoS-induced outage.
Image générée par IA

La faille Linux « CopyFail » menace l'accès root en pleine panne d'Ubuntu

Rapporté par l'IA Image générée par IA

Une vulnérabilité critique de Linux, baptisée CopyFail et répertoriée sous le code CVE-2026-31431, permet aux attaquants d'obtenir un accès root sur les systèmes utilisant des noyaux datant de 2017. La publication du code d'exploitation a accru les risques pour les centres de données et les appareils personnels. L'infrastructure d'Ubuntu est hors ligne depuis plus d'une journée en raison d'une attaque DDoS, ce qui entrave la communication sur la sécurité.

Des chercheurs ont mis au jour un compromis à grande échelle de pare-feux Fortinet qui a exposé les identifiants en texte clair de près de 74 000 appareils dans 194 pays. La faille touche des organisations telles qu'Oracle, Chevron, Lenovo, FedEx et Fortinet lui-même, ainsi qu'un sous-traitant de défense de l'OTAN.

Rapporté par l'IA

Soixante-treize paquets open source de Microsoft ont été compromis à la fin de la semaine dernière par un logiciel malveillant conçu pour dérober des identifiants de services cloud et d'outils de développement. Le code malveillant s'active lors de son ouverture dans des agents de codage basés sur l'IA.

Ce site utilise des cookies

Nous utilisons des cookies pour l'analyse afin d'améliorer notre site. Lisez notre politique de confidentialité pour plus d'informations.
Refuser