Una botnet explota contraseñas débiles para vulnerar servidores de criptomonedas y blockchain

Las bases de datos de proyectos de criptomonedas y blockchain condentdébiles y generadas por IA están siendo pirateadas a través de patrones de implementación detectados por botnets, según una nueva investigación de Check Point.

Una botnet de malware llamada GoBruteforcer es capaz de comprometer servidores Linux y convertirlos en nodos de descifrado automático de contraseñas, según la empresa de ciberseguridad. El programa de hackeo ha afectado la infraestructura utilizada por proyectos de criptomonedas, incluyendo servidores de bases de datos, servicios de transferencia de archivos y paneles de administración web. 

GoBrut puede escanear internet en busca de servicios poco seguros e intentar acceder a ellos con nombres de usuario populares y contraseñas débiles. Una vez comprometido un sistema, se añade a una red distribuida a la que una red de hackers puede acceder remotamente.

La botnet GoBruteforcer puede hackear contraseñas vagamente pensadas

Según el informe de Check Point publicado el miércoles pasado, la botnet puede evadir las protecciones de servicios como FTP, MySQL, PostgreSQL y phpMyAdmin. Estos programas son utilizados por startups de blockchain y desarrolladores de aplicaciones descentralizadas para gestionar datos de usuarios, lógica de aplicaciones y paneles internos.

Los sistemas que GoBrute ha hackeado pueden aceptar comandos de un servidor de comando y control, lo que dicta qué servicio atacar y proporcionadentpara intentos de fuerza bruta. Los datos de inicio de sesión revelados se reutilizan para acceder a otros sistemas, robar datos privados, crear cuentas ocultas y ampliar el alcance de la botnet.

Check Point también mencionó que los hosts infectados también pueden reutilizarse para alojar cargas maliciosas, distribuir malware a nuevas víctimas o convertirse en servidores de control de respaldo si el sistema central experimenta tiempos de inactividad.

Actualmente, muchos equipos de desarrollo, incluidos los de grandes empresas tecnológicas como Microsoft y Amazon, utilizan fragmentos de código y guías de configuración generadas por grandes modelos de lenguaje (LLM) o copiadas de foros en línea. 

Check Point explicó que como los modelos de IA no pueden crear contraseñas nuevas y generalmente imitan lo que se les ha enseñado, hacen que los nombres de usuario y las contraseñas predeterminadas sean muy predecibles y no los cambian lo suficientemente rápido antes de que los sistemas queden expuestos a Internet.

El problema se vuelve aún más grave cuando se utilizan pilas web antiguas como XAMPP, que pueden exponer servicios administrativos de forma predeterminada y proporcionar un punto de entrada fácil para los piratas informáticos.

Las campañas de GoBruteforcer comenzaron en 2023, según la investigación de Unit 42

GoBruteforcer fue documentado por primera vez en marzo de 2023 por la Unidad 42 de Palo Alto Networks, que detalló su capacidad para comprometer sistemas tipo Unix con arquitecturas x86, x64 y ARM. El malware implementa un bot de chat de retransmisión de Internet y un shell web, que los atacantes utilizan para mantener su acceso remoto.

En septiembre de 2025, investigadores de Black Lotus Labs de Lumen Technologies descubrieron que una parte de las máquinas infectadas vinculadas a otra familia de malware, SystemBC, también eran nodos de GoBruteforcer. Los analistas de Check Point compararon las listas de contraseñas utilizadas en los ataques con una base de datos de aproximadamente 10 millones dedentfiltradas y encontraron una superposición de aproximadamente el 2,44 %.

Basándose en esa superposición, estimaron que decenas de miles de servidores de bases de datos podrían aceptar una de las contraseñas utilizadas por la botnet. El informe Cloud Threat Horizons de Google de 2024 reveló que lasdentdébiles o faltantes fueron responsables del 47,2 % de los vectores de acceso inicial en entornos de nube vulnerados.

La inteligencia artificial y la tecnología blockchain exponen datos privados, según un estudio

En los casos en que GoBrute fue tracen entornos de criptomonedas, los hackers de la red utilizaron nombres de usuario y contraseñas con temática criptográfica que coincidían con las convenciones de nomenclatura de los proyectos blockchain. Otras campañas se dirigieron a paneles de phpMyAdmin vinculados a sitios de WordPress, un servicio para sitios web y paneles de control de proyectos. 

Algunas tareas están claramente enfocadas en un sector. Por ejemplo, observamos un ataque que utilizaba nombres de usuario con temática criptográfica como cryptouser, appcrypto, crypto_app y crypto. En estas ejecuciones, las contraseñas utilizadas combinaban la lista estándar de vulnerabilidades con suposiciones específicas de criptografía como cryptouser1 o crypto_user1234, indicó Check Point, mencionando ejemplos de contraseñas.

Check Pointdentun servidor comprometido que se utilizaba para alojar un módulo que escaneaba direcciones de blockchain TRON y consultaba saldos a través de una API de blockchain pública paradentbilleteras que contenían fondos.

La combinación de infraestructura expuesta,dentdébiles y herramientas cada vez más automatizadas. Si bien la botnet en sí es técnicamente sencilla, sus operadores se benefician de la cantidad de servicios mal configurados en línea, escribió la compañía de seguridad.

No te limites a leer noticias sobre criptomonedas. Entiéndelas. Suscríbete a nuestro boletín. Es gratis .