Una botnet llamada GoBruteforcer intensifica los ataques por fuerza bruta contra servidores Linux expuestos a Internet, aprovechando credenciales débiles y configuraciones inseguras en servicios ampliamente utilizados como FTP, MySQL, PostgreSQL y paneles phpMyAdmin. Así lo advierte un nuevo análisis de Check Point Research, que estima que más de 50.000 servidores accesibles públicamente podrían estar en riesgo.Según los investigadores, los sistemas comprometidos pasan a formar parte de la propia infraestructura de ataque: una vez infectados, se utilizan como nodos de escaneo para recorrer rangos aleatorios de direcciones IP y lanzar intentos de autenticación con combinaciones de usuario y contraseña ampliamente conocidas. Cuando el acceso tiene éxito, los atacantes pueden robar datos, implantar puertas traseras, revender el acceso o ampliar aún más el alcance de la botnet.
Una amenaza conocida
GoBruteforcer no es un actor nuevo. El malware fue documentado públicamente por primera vez en 2023, pero a mediados de 2025 los analistas empezaron a observar una variante más avanzada. Esta nueva versión está desarrollada íntegramente en Go e incorpora mayores niveles de ofuscación, mecanismos de persistencia más robustos y técnicas diseñadas para ocultar los procesos maliciosos dentro de los sistemas Linux infectados.
El auge actual de la actividad responde, según el informe, a la convergencia de dos factores bien conocidos: por un lado, la reutilización masiva de ejemplos de despliegue estándar que siguen apoyándose en usuarios previsibles y contraseñas débiles; por otro, la persistencia de stacks web heredados, como XAMPP, que a menudo dejan expuestos servicios FTP y paneles de administración sin un endurecimiento mínimo de seguridad.
Sin zero-days, pero a gran escala
A diferencia de otras campañas, los operadores de GoBruteforcer no dependen de vulnerabilidades de día cero. Su estrategia se basa en probar de forma sistemática credenciales simples —como admin, password u otros usuarios operativos ampliamente difundidos en documentación y tutoriales— sobre millones de servicios accesibles en puertos por defecto. Aunque la tasa de éxito individual sea baja, el enorme volumen de sistemas expuestos convierte este enfoque en un modelo rentable.
Las campañas se rotan varias veces por semana y cambian de foco. Algunas se limitan a “rociar” credenciales comunes sobre direcciones IP aleatorias; otras son más selectivas. En ataques recientes se han observado nombres de usuario vinculados al ecosistema cripto, dirigidos a bases de datos relacionadas con blockchain, así como paneles phpMyAdmin asociados a entornos WordPress.
Motivación económica y criptoactivos
El análisis forense de uno de los servidores comprometidos permitió identificar herramientas desarrolladas en Go para escanear saldos en la red TRON y vaciar tokens tanto en TRON como en Binance Smart Chain. Junto a los componentes de la botnet se localizó además un archivo con unas 23.000 direcciones TRON. El análisis on-chain sugiere que al menos parte de estas operaciones tuvo éxito, aunque la mayoría de las direcciones contenían saldos residuales.
Para los investigadores, el caso de GoBruteforcer vuelve a poner de relieve un problema estructural que persiste en el tiempo: servicios expuestos, credenciales débiles y configuraciones por defecto siguen ofreciendo a los atacantes un punto de entrada fiable. En un contexto en el que la IA generativa está reduciendo las barreras para desplegar servidores y servicios, desde Check Point Research advierten de que el riesgo asociado a configuraciones inseguras podría aumentar si no se refuerzan las prácticas de endurecimiento, la higiene de credenciales y la gestión continua de la superficie de exposición.
