Source: Check Point Research (publication du 7 janvier 2026). CPR analyse une variante 2025 de GoBruteforcer (GoBrut), un botnet modulaire en Go qui transforme des serveurs Linux compromis en nœuds de scan et de brute-force, avec un intérêt marqué pour des cibles crypto.

Le botnet cible des services exposés (FTP, MySQL, PostgreSQL, phpMyAdmin) et se propage via une chaîne web shell → downloader → bot IRC → bruteforcer. Deux facteurs alimentent la vague actuelle: l’usage massif d’exemples de déploiement générés par IA 🧠 qui recyclent des noms d’utilisateurs/défauts faibles (ex. appuser, myuser) et la persistance de stacks legacy comme XAMPP exposant FTP/phpMyAdmin avec un durcissement minimal. Selon CPR, >50 000 serveurs exposés pourraient être vulnérables; Shodan relève ~5,7 M de FTP, 2,23 M de MySQL et 560 k de PostgreSQL accessibles. L’ensemble de mots de passe utilisé par GoBruteforcer chevauche à 2,44% une base de 10 M de mots de passe fuités, ce qui suggère qu’environ 54,6 k MySQL et 13,7 k PostgreSQL pourraient accepter l’un des mots de passe de l’attaquant.

Les campagnes alternent entre sprays larges et runs ciblés. Le C2 choisit le service et transmet des listes d’environ 200 couples par tâche, régénérées depuis un pool stable de 375–600 mots de passe. Les attaques emploient des noms d’utilisateurs opérationnels courants (php, operator, appuser, myuser, etc.), des variantes crypto (cryptouser, crypto_app…) et, pour phpMyAdmin souvent lié à WordPress, des comptes root/wordpress/wpuser avec mots de passe faibles correspondants. Le bruteforce FTP s’appuie sur un set durci en binaire visant des défauts XAMPP/web (apache, daemon, http, www…).

Chaîne d’infection observée: accès initial fréquent via FTP XAMPP avec mots de passe par défaut; upload d’un web shell PHP dans /opt/lampp/htdocs puis récupération/exec d’un payload via wget/curl. Un script « downloader » vérifie/rafraîchit un binaire init_start (md5 contrôlé), télécharge un bot IRC adapté à l’architecture (x86, x64, ARM, ARM64), puis exécute. Les machines compromises servent de scanners, hôtes de distribution et parfois de relays/C2. La variante 2025 ajoute une forte obfuscation du bot IRC réécrit en Go, de meilleures persistances, des masquages de processus et des listes d’identifiants dynamiques, avec mécanismes de fallback C2 (IP hardcodées puis domaine en dernier recours).

CPR a constaté des campagnes visant des bases de projets crypto/blockchain; sur un hôte compromis, des outils Go (scanner de soldes TRON, utilitaires de « token-sweep » TRON et BSC) et un fichier d’environ 23 000 adresses TRON ont été trouvés; l’analyse on-chain des portefeuilles receveurs montre des vols réussis. Type: publication de recherche décrivant une analyse technique et contextuelle de la menace.

• IOCs

  • SHA256 web shell: de7994277a81cf48f575f7245ec782c82452bb928a55c7fae11c2702cc308b8b
  • MD5 attendu de « init_start »: cc9dde367a1e7ac2c1a7611bdfbbcbc3
  • Chemins/artefacts: /opt/lampp, /opt/lampp/htdocs, motif d’URL /.x/?x=, paramètre webshell dmc avec wget/curl, fichier « init_start »

• TTPs (extraits du rapport)

  • Brute-force d’identifiants faibles sur FTP/MySQL/PostgreSQL/phpMyAdmin
  • Exploitation de défauts et comptes par défaut (notamment XAMPP/ProFTPD) avec FTP mappé au webroot
  • Dépôt de web shell PHP, exécution de commandes distantes, téléchargement via wget/curl
  • Bot IRC en Go, modularité (scanner, distribution, relay), persistences améliorées, masquage de processus, fallback C2 (IPs hardcodées puis domaine)
  • Listes d’identifiants dynamiques, rotation de campagnes et ciblage thématique (ex. crypto), payloads multi-architectures

🧠 TTPs et IOCs détectés

TTP

[‘Brute-force d’identifiants faibles sur FTP/MySQL/PostgreSQL/phpMyAdmin’, ‘Exploitation de défauts et comptes par défaut (notamment XAMPP/ProFTPD) avec FTP mappé au webroot’, ‘Dépôt de web shell PHP, exécution de commandes distantes, téléchargement via wget/curl’, ‘Bot IRC en Go, modularité (scanner, distribution, relay), persistences améliorées, masquage de processus, fallback C2 (IPs hardcodées puis domaine)’, ‘Listes d’identifiants dynamiques, rotation de campagnes et ciblage thématique (ex. crypto), payloads multi-architectures’]

IOC

{‘hashes’: [‘SHA256 web shell: de7994277a81cf48f575f7245ec782c82452bb928a55c7fae11c2702cc308b8b’, ‘MD5 attendu de « init_start »: cc9dde367a1e7ac2c1a7611bdfbbcbc3’], ‘paths’: [’/opt/lampp’, ‘/opt/lampp/htdocs’, ‘motif d’URL /.x/?x=’, ‘paramètre webshell dmc avec wget/curl’, ‘fichier « init_start »’]}

🔗 Source originale : https://research.checkpoint.com/2026/inside-gobruteforcer-ai-generated-server-defaults-weak-passwords-and-crypto-focused-campaigns/