Botnet berbasis Go yang dikenal sebagai GoBruteforcer sedang memindai dan mengompromikan server Linux secara global dengan brute-force pada kata sandi lemah di layanan terbuka seperti FTP, MySQL, dan PostgreSQL. Check Point Research telah mengidentifikasi varian 2025 yang telah menginfeksi puluhan ribu mesin, membahayakan lebih dari 50.000 server yang menghadap internet. Serangan ini mengeksploitasi default umum dari konfigurasi yang dihasilkan AI dan pengaturan lama.
Botnet GoBruteforcer, yang pertama kali didokumentasikan pada 2023, telah berevolusi secara signifikan dalam versi 2025-nya, seperti yang dirinci oleh Check Point Research. Malware ini menggunakan struktur modular yang melibatkan web shells, downloader, bot IRC, dan modul bruteforcer untuk menyusup ke sistem. Ia fokus pada layanan seperti FTP, MySQL, PostgreSQL, dan phpMyAdmin, menargetkan kredensial lemah atau default pada server Linux yang terpapar internet. Peneliti memperkirakan lebih dari 50.000 server masih rentan, dengan jutaan instance terpapar: sekitar 5,7 juta server FTP, 2,23 juta server MySQL, dan 560.000 server PostgreSQL yang beroperasi pada port default. Kesuksesan botnet berasal dari penggunaan luas nama pengguna yang disarankan AI seperti “appuser” dan “myuser”, bersama dengan database 375 hingga 600 kata sandi lemah umum. Daftar kredensial ini tumpang tindih dengan 2,44% dari kumpulan 10 juta kata sandi bocor, membuat serangan layak meskipun tingkat tumpang tindih sederhana. Laporan Google Cloud Threat Horizons 2024 mencatat bahwa kredensial lemah memfasilitasi 47,2% pelanggaran awal cloud, yang menegaskan efektivitas metode tersebut. Bot IRC yang diperbarui, sekarang ditulis dalam Go dan diobfuskasi dengan Garbler, menggantikan versi berbasis C sebelumnya. Ia menggunakan teknik penyembunyian proses, mengganti nama menjadi “init” dan menyembunyikan argumen untuk menghindari deteksi. Server command-and-control mendistribusikan batch 200 kredensial, memutar profil beberapa kali seminggu. Mesin yang terinfeksi memindai hingga 20 alamat IP per detik dengan bandwidth rendah—sekitar 64 kb/s keluar selama operasi FTP—dan menjalankan 95 thread konkuren pada sistem 64-bit. Beberapa kampanye menunjukkan motif keuangan, menyebarkan alat untuk memindai dompet TRON dan menyapu token dari Binance Smart Chain. Pada satu server yang dikompromikan, analis memulihkan file dengan sekitar 23.000 alamat TRON, dengan data on-chain yang mengonfirmasi pencurian berhasil. Botnet menghindari jaringan pribadi, penyedia cloud, dan rentang Departemen Pertahanan AS untuk meminimalkan risiko deteksi. Ia juga menyesuaikan serangan untuk sektor tertentu, menggunakan nama pengguna bertema kripto atau menargetkan tumpukan XAMPP dengan pengaturan FTP default. Untuk ketahanan, ia menyertakan alamat C2 cadangan hardcode dan mempromosikan host terinfeksi sebagai relay. Komponen diperbarui dua kali sehari melalui skrip yang diverifikasi MD5. Untuk melawan ancaman ini, para ahli merekomendasikan kata sandi kuat, menonaktifkan layanan yang tidak digunakan, autentikasi multi-faktor, dan pemantauan login yang waspada.
