Un botnet basé sur Go connu sous le nom de GoBruteforcer scanne et compromet des serveurs Linux à l'échelle mondiale en forçant par brute force des mots de passe faibles sur des services exposés comme FTP, MySQL et PostgreSQL. Check Point Research a identifié une variante 2025 qui a infecté des dizaines de milliers de machines, mettant plus de 50 000 serveurs exposés à Internet en danger. Les attaques exploitent des valeurs par défaut courantes issues de configurations générées par IA et d'installations legacy.
Le botnet GoBruteforcer, documenté pour la première fois en 2023, a considérablement évolué dans sa version 2025, comme le détaille Check Point Research. Ce malware utilise une structure modulaire impliquant des web shells, des téléchargeurs, des bots IRC et des modules de force brute pour infiltrer les systèmes. Il cible des services tels que FTP, MySQL, PostgreSQL et phpMyAdmin, visant des identifiants faibles ou par défaut sur des serveurs Linux exposés à Internet. Les chercheurs estiment que plus de 50 000 serveurs restent vulnérables, avec des millions d'instances exposées : environ 5,7 millions de serveurs FTP, 2,23 millions de serveurs MySQL et 560 000 serveurs PostgreSQL fonctionnant sur des ports par défaut. Le succès du botnet provient de l'utilisation généralisée de noms d'utilisateurs suggérés par l'IA comme « appuser » et « myuser », ainsi que d'une base de données de 375 à 600 mots de passe faibles courants. Ces listes d'identifiants chevauchent 2,44 % d'une collection de 10 millions de mots de passe divulgués, rendant les attaques viables malgré le faible taux de chevauchement. Un rapport Google Cloud Threat Horizons de 2024 a noté que les identifiants faibles ont facilité 47,2 % des violations initiales de cloud, soulignant l'efficacité de la méthode. Le bot IRC mis à jour, désormais écrit en Go et obscurci avec Garbler, remplace une version antérieure basée sur C. Il utilise des techniques de masquage de processus, se renommant en « init » et masquant les arguments pour échapper à la détection. Les serveurs de commande et de contrôle distribuent des lots de 200 identifiants, rotatif les profils plusieurs fois par semaine. Les machines infectées scannent jusqu'à 20 adresses IP par seconde avec une faible bande passante — environ 64 kb/s en sortie pendant les opérations FTP — et exécutent 95 threads simultanés sur des systèmes 64 bits. Certaines campagnes montrent des motifs financiers, déployant des outils pour scanner les portefeuilles TRON et balayer les tokens de Binance Smart Chain. Sur un serveur compromis, les analystes ont récupéré un fichier contenant environ 23 000 adresses TRON, avec des données on-chain confirmant des vols réussis. Le botnet évite les réseaux privés, les fournisseurs de cloud et les plages du Département de la Défense américain pour minimiser les risques de détection. Il adapte également les attaques par secteur, utilisant des noms d'utilisateurs thématiques crypto ou ciblant des piles XAMPP avec des configurations FTP par défaut. Pour plus de résilience, il inclut des adresses C2 de secours codées en dur et promeut les hôtes infectés comme relais. Les composants se mettent à jour deux fois par jour via des scripts vérifiés par MD5. Pour contrer ces menaces, les experts recommandent des mots de passe forts, la désactivation des services inutilisés, l'authentification multifacteur et une surveillance vigilante des connexions.
