Ett Go-baserat botnet känt som GoBruteforcer skannar och komprometterar Linux-servrar globalt genom brute force-attacker mot svaga lösenord på utsatta tjänster som FTP, MySQL och PostgreSQL. Check Point Research har identifierat en 2025-variant som smittat tiotusentals maskiner och satt över 50 000 internetutsatta servrar i riskzonen. Attackerna utnyttjar vanliga standarder från AI-genererade konfigurationer och äldre installationer.
GoBruteforcer-botnätet, som dokumenterades första gången 2023, har utvecklats avsevärt i sin 2025-version, enligt Check Point Research. Denna skadlig kod använder en modulär struktur med web shells, nedladdare, IRC-botar och bruteforce-moduler för att infiltrera system. Den fokuserar på tjänster som FTP, MySQL, PostgreSQL och phpMyAdmin, och riktar in sig på svaga eller standardanvändaruppgifter på internetutsatta Linux-servrar. Forskare uppskattar att mer än 50 000 servrar förblir sårbara, med miljontals exponerade instanser: cirka 5,7 miljoner FTP-servrar, 2,23 miljoner MySQL-servrar och 560 000 PostgreSQL-servrar som körs på standardporter. Botnätets framgång beror på det utbredda användandet av AI-förslagna användarnamn som ”appuser” och ”myuser”, tillsammans med en databas på 375 till 600 vanliga svaga lösenord. Dessa uppgifter överlappar med 2,44 % av en samling med 10 miljoner läckta lösenord, vilket gör attackerna genomförbara trots den blygsamma överlappningsgraden. En Google Cloud Threat Horizons-rapport från 2024 noterade att svaga uppgifter underlättade 47,2 % av de initiala molnintrången, vilket understryker metodens effektivitet. Den uppdaterade IRC-boten, nu skriven i Go och ofuskerad med Garbler, ersätter en tidigare C-baserad version. Den använder processmaskeringstekniker, byter namn till ”init” och döljer argument för att undvika detektering. Kommandot-och-kontrollservrar distribuerar satser med 200 uppgifter och roterar profiler flera gånger i veckan. Smittade maskiner skannar upp till 20 IP-adresser per sekund med låg bandbredd – cirka 64 kb/s utgående under FTP-operationer – och kör 95 samtidiga trådar på 64-bitssystem. Vissa kampanjer visar finansiella motiv genom att distribuera verktyg för att skanna TRON-plånböcker och sopa tokens från Binance Smart Chain. På en komprometterad server återhämtade analytiker en fil med cirka 23 000 TRON-adresser, där on-chain-data bekräftar lyckade stölder. Botnätet undviker privata nätverk, molnleverantörer och amerikanska försvarsdepartementets intervall för att minimera detektionsrisker. Det anpassar också attacker efter sektorer med kryptotematiska användarnamn eller riktar in sig på XAMPP-stackar med standard-FTP-inställningar. För robusthet inkluderar det hårdkodade reserv-C2-adresser och främjar smittade värdar som reläer. Komponenter uppdateras två gånger dagligen via MD5-verifierade skript. För att motverka dessa hot rekommenderar experter starka lösenord, inaktivera oanvända tjänster, multifaktorautentisering och vaksam inloggningsövervakning.
