Một làn sóng tấn công mới của GoBruteforcer đã nhắm mục tiêu vào các cơ sở dữ liệu của các dự án tiền điện tử và blockchain để biến chúng thành một botnet có khả năng brute-forcing mật khẩu người dùng cho các dịch vụ như FTP, MySQL, PostgreSQL và phpMyAdmin trên các máy chủ Linux.
“Làn sóng chiến dịch hiện tại được thúc đẩy bởi hai yếu tố: việc tái sử dụng hàng loạt các ví dụ triển khai máy chủ do AI tạo ra, vốn lan truyền các tên người dùng phổ biến và cài đặt mặc định yếu kém, và sự tồn tại dai dẳng của các stack web lỗi thời như XAMPP vốn phơi bày các giao diện FTP và quản trị với cơ chế bảo mật tối thiểu,” Check Point Research cho biết trong một phân tích được công bố tuần trước.
GoBruteforcer, còn được gọi là GoBrut, lần đầu tiên được ghi nhận bởi Palo Alto Networks Unit 42 vào tháng 3 năm 2023, với khả năng nhắm mục tiêu vào các nền tảng giống Unix chạy kiến trúc x86, x64 và ARM để triển khai một bot Internet Relay Chat (IRC) và một web shell để truy cập từ xa, cùng với việc lấy một module brute-force để quét các hệ thống dễ bị tổn thương và mở rộng phạm vi của botnet.
Một báo cáo tiếp theo từ nhóm Black Lotus Labs tại Lumen Technologies vào tháng 9 năm 2025 phát hiện rằng một phần các bot bị nhiễm dưới sự kiểm soát của một họ phần mềm độc hại khác được gọi là SystemBC cũng là một phần của botnet GoBruteforcer.
Check Point cho biết họ đã xác định một phiên bản tinh vi hơn của phần mềm độc hại Golang vào giữa năm 2025, bao gồm một bot IRC bị làm rối mã hóa mạnh mẽ được viết lại bằng ngôn ngữ lập trình đa nền tảng, các cơ chế duy trì khả năng truy cập được cải thiện, các kỹ thuật che giấu quy trình và danh sách thông tin đăng nhập động.
Danh sách thông tin đăng nhập bao gồm sự kết hợp của các tên người dùng và mật khẩu phổ biến (ví dụ: myuser:Abcd@123 hoặc appeaser:admin123456) có thể chấp nhận đăng nhập từ xa. Việc lựa chọn các tên này không phải ngẫu nhiên, vì chúng đã được sử dụng trong các hướng dẫn cơ sở dữ liệu và tài liệu của nhà cung cấp, tất cả đều đã được sử dụng để đào tạo Large language models (LLMs), khiến chúng tạo ra các đoạn mã với cùng các tên người dùng mặc định.
Một số tên người dùng khác trong danh sách tập trung vào tiền điện tử (ví dụ: cryptouser, appcrypto, crypto_app và crypto) hoặc nhắm mục tiêu vào các panel phpMyAdmin (ví dụ: root, wordpress và wpuser).
“Những kẻ tấn công tái sử dụng một nhóm mật khẩu nhỏ, ổn định cho mỗi chiến dịch, làm mới danh sách theo từng tác vụ từ nhóm đó và luân chuyển tên người dùng cùng các bổ sung đặc biệt vài lần mỗi tuần để theo đuổi các mục tiêu khác nhau,” Check Point cho biết. “Không giống như các dịch vụ khác, brute-force FTP sử dụng một bộ thông tin đăng nhập nhỏ, được mã hóa cứng được nhúng trong tệp nhị phân bruteforcer. Bộ tích hợp sẵn đó chỉ ra các stack lưu trữ web và tài khoản dịch vụ mặc định.”
Trong hoạt động được Check Point quan sát, một dịch vụ FTP tiếp xúc với internet trên các máy chủ chạy XAMPP được sử dụng làm vector truy cập ban đầu để tải lên một PHP web shell, sau đó được sử dụng để tải xuống và thực thi một phiên bản cập nhật của bot IRC bằng cách sử dụng một shell script dựa trên kiến trúc hệ thống. Khi một máy chủ bị nhiễm thành công, nó có thể phục vụ ba mục đích khác nhau:
- Chạy thành phần brute-force để thử đăng nhập mật khẩu cho FTP, MySQL, Postgres và phpMyAdmin trên internet
- Lưu trữ và phục vụ tải trọng (payloads) cho các hệ thống bị xâm nhập khác, hoặc
- Lưu trữ các điểm cuối điều khiển kiểu IRC hoặc hoạt động như một máy chủ command-and-control (C2) dự phòng để đảm bảo khả năng phục hồi
Phân tích sâu hơn về chiến dịch đã xác định rằng một trong các máy chủ bị xâm nhập đã được sử dụng để dàn dựng một module lặp qua danh sách các địa chỉ blockchain TRON và truy vấn số dư bằng dịch vụ tronscanapi[.]com để xác định các tài khoản có số tiền khác 0. Điều này cho thấy một nỗ lực phối hợp nhằm nhắm mục tiêu vào các dự án blockchain.
“GoBruteforcer minh họa một vấn đề rộng lớn và dai dẳng hơn: Sự kết hợp giữa cơ sở hạ tầng bị phơi bày, thông tin đăng nhập yếu và các công cụ ngày càng tự động hóa,” Check Point cho biết. “Mặc dù bản thân botnet về mặt kỹ thuật khá đơn giản, nhưng những kẻ điều hành nó được hưởng lợi từ số lượng lớn các dịch vụ bị cấu hình sai vẫn còn trực tuyến.”
Tiết lộ này được đưa ra khi GreyNoise tiết lộ rằng các tác nhân đe dọa đang quét internet một cách có hệ thống để tìm các máy chủ proxy bị cấu hình sai có thể cung cấp quyền truy cập vào các dịch vụ LLM thương mại.
Trong số hai chiến dịch, một chiến dịch đã khai thác các lỗ hổng server-side request forgery (SSRF) để nhắm mục tiêu vào chức năng kéo mô hình của Ollama và tích hợp webhook SMS của Twilio từ tháng 10 năm 2025 đến tháng 1 năm 2026. Dựa trên việc sử dụng cơ sở hạ tầng OAST của ProjectDiscovery, có thể giả định rằng hoạt động này có thể bắt nguồn từ các nhà nghiên cứu bảo mật hoặc những người săn lỗi (bug bounty hunters).
Hoạt động thứ hai, bắt đầu từ ngày 28 tháng 12 năm 2025, được đánh giá là một nỗ lực liệt kê quy mô lớn để xác định các điểm cuối LLM bị phơi bày hoặc cấu hình sai liên quan đến Alibaba, Anthropic, DeepSeek, Google, Meta, Mistral, OpenAI và xAI. Việc quét bắt nguồn từ các địa chỉ IP 45.88.186[.]70 và 204.76.203[.]125.
“Bắt đầu từ ngày 28 tháng 12 năm 2025, hai IP đã tiến hành thăm dò có phương pháp 73+ điểm cuối mô hình LLM,” công ty tình báo mối đe dọa cho biết. “Trong mười một ngày, chúng đã tạo ra 80.469 phiên – trinh sát có hệ thống để tìm kiếm các máy chủ proxy bị cấu hình sai có thể làm rò rỉ quyền truy cập vào các API thương mại.”
