Une nouvelle vague de irbruteforcer Les attaques ont ciblé des bases de données de projets de crypto-monnaie et de blockchain pour les inclure dans un botnet capable de forcer les mots de passe des utilisateurs pour des services tels que FTP, MySQL, PostgreSQL et phpMyAdmin sur des serveurs Linux.
« La vague actuelle de campagnes est motivée par deux facteurs : la réutilisation massive d'exemples de déploiement de serveurs générés par l'IA qui propagent des noms d'utilisateur courants et des valeurs par défaut faibles, et la persistance de piles Web héritées comme XAMPP qui exposent les interfaces d'administration et FTP avec un minimum de durcissement », a déclaré Check Point Research dans une analyse publiée la semaine dernière.
GoBruteforcer, également appelé GoBrut, a été documenté pour la première fois par l'unité 42 de Palo Alto Networks en mars 2023, documentant sa capacité à cibler des plates-formes de type Unix exécutant des architectures x86, x64 et ARM pour implémenter un robot Internet Relay Chat (IRC) et un shell Web pour l'accès à distance, ainsi qu'à cibler un module de force brute pour rechercher les systèmes vulnérables et étendre la portée du botnet.
Un rapport ultérieur de l'équipe Black Lotus Labs de Lumen Technologies en septembre 2025 a révélé qu'une partie des robots infectés sous le contrôle d'une autre famille de logiciels malveillants connue sous le nom de SystemBC faisaient également partie du botnet GoBruteforcer.
Check Point a déclaré avoir identifié une version plus sophistiquée du malware Golang à la mi-2025, qui comprend un robot IRC hautement obscurci qui est réécrit dans le langage de programmation multiplateforme, des mécanismes de persistance améliorés, des techniques de masquage de processus et des listes d'informations d'identification dynamiques.
La liste des informations d'identification comprend une combinaison de noms d'utilisateur et de mots de passe courants (par exemple, myuser:Abcd@123 ou append:admin123456) pouvant accepter les connexions à distance. Le choix de ces noms n'est pas une coïncidence, car ils ont été utilisés dans des didacticiels de bases de données et dans la documentation des fournisseurs, qui ont tous été utilisés pour entraîner des modèles de langage étendus (LLM), les amenant à produire des extraits de code avec les mêmes noms d'utilisateur par défaut.
Certains des autres noms d'utilisateur de la liste sont soit axés sur la crypto-monnaie (par exemple, cryptouser, appcrypto, crypto_app et crypto) ou ciblent les panneaux phpMyAdmin (par exemple root, wordpress et wpuser).
“Les attaquants réutilisent un petit pool de mots de passe stable pour chaque campagne, mettent à jour les listes par tâche dans ce pool et alternent les noms d'utilisateur et les ajouts de niche plusieurs fois par semaine pour poursuivre différentes cibles”, a déclaré Check Point. “Contrairement aux autres services, Brute Force FTP utilise un petit ensemble d'informations d'identification codées en dur intégrées dans le binaire Brute Force. Cet ensemble intégré cible les piles d'hébergement Web et les comptes de service par défaut.”
Dans l'activité observée par Check Point, un service FTP exposé à Internet sur des serveurs exécutant XAMPP est utilisé comme vecteur d'accès initial pour charger un shell Web PHP, qui est ensuite utilisé pour télécharger et exécuter une version mise à jour du bot IRC à l'aide d'un script shell basé sur l'architecture du système. Une fois qu’un hôte est infecté avec succès, il peut avoir trois utilisations différentes :
- Exécutez le composant force brute pour tenter de vous connecter par mot de passe pour FTP, MySQL, Postgres et phpMyAdmin sur Internet.
- Hébergez et servez des charges utiles sur d’autres systèmes compromis, ou
- Hébergez des points de terminaison de contrôle de style IRC ou agissez en tant que commande et contrôle de secours (C2) pour une résilience accrue.
Une analyse plus approfondie de la campagne a déterminé que l'un des hôtes compromis a été utilisé pour héberger un module qui parcourt une liste d'adresses de blockchain TRON et interroge les soldes à l'aide de tronscanapi.[.]com pour identifier les comptes avec des fonds non nuls. Cela indique un effort concerté pour cibler les projets blockchain.
« GoBruteforcer illustre un problème plus large et persistant : la combinaison d'une infrastructure exposée, d'informations d'identification faibles et d'outils de plus en plus automatisés », a déclaré Check Point. “Bien que le botnet lui-même soit techniquement simple, ses opérateurs bénéficient du grand nombre de services mal configurés qui restent en ligne.”
Cette divulgation intervient alors que GreyNoise a révélé que les acteurs malveillants analysent systématiquement Internet à la recherche de serveurs proxy mal configurés qui pourraient donner accès aux services LLM commerciaux.
Parmi les deux campagnes, l'une a exploité les vulnérabilités de falsification de requêtes côté serveur (SSRF) pour cibler la fonctionnalité d'extraction de modèles d'Ollama et les intégrations de webhooks SMS de Twilio entre octobre 2025 et janvier 2026. Sur la base de l'utilisation de l'infrastructure OAST de ProjectDiscovery, il est postulé que l'activité provient probablement de chercheurs en sécurité ou de chasseurs de primes de bogues.
La deuxième série d'activités, qui débutera le 28 décembre 2025, est considérée comme un effort d'énumération à grand volume visant à identifier les points de terminaison LLM exposés ou mal configurés associés à Alibaba, Anthropic, DeepSeek, Google, Meta, Mistral, OpenAI et xAI. L'analyse provenait des adresses IP 45.88.186[.]70 et 204.76.203[.]125.
« À partir du 28 décembre 2025, deux chercheurs principaux ont lancé une enquête méthodique sur plus de 73 points de terminaison du modèle LLM », a indiqué la société de renseignement sur les menaces. “En onze jours, ils ont généré 80 469 sessions : recherche de reconnaissance systématique de serveurs proxy mal configurés susceptibles de divulguer l'accès aux API commerciales.”