GoBruteforcer Botnet-Angriffe
Eine neue Welle von GoBruteforcer-Angriffen zielt aktiv auf Datenbanken von Kryptowährungs- und Blockchain-Projekten ab. Die Angreifer binden anfällige Server in ein verteiltes Botnetz ein, das groß angelegte Brute-Force-Angriffe auf gängige Dienste wie FTP, MySQL, PostgreSQL und phpMyAdmin auf Linux-Systemen durchführen kann.
Diese Kampagne ist nicht wahllos. Die Beweislage zeigt einen klaren Fokus auf Infrastrukturen, die mit Blockchain-Ökosystemen verbunden sind, was sowohl finanzielle Motivation als auch die Vielzahl schlecht gesicherter Entwicklungsumgebungen in diesem Sektor widerspiegelt.
Inhaltsverzeichnis
Warum diese Kampagne an Dynamik gewinnt
Zwei sich überschneidende Trends treiben den aktuellen Anstieg an. Erstens greifen Administratoren vermehrt auf KI-generierte Bereitstellungsanleitungen und Serverbeispiele zurück, die häufig dieselben schwachen Standardbenutzernamen und -anmeldeinformationen verwenden, die auch in Online-Tutorials und Dokumentationen zu finden sind. Zweitens werden ältere Web-Stacks, insbesondere XAMPP-Installationen, weiterhin mit ungeschützten FTP-Diensten und unzureichend abgesicherten Verwaltungsschnittstellen bereitgestellt.
Zusammen bieten diese Bedingungen Angreifern eine vorhersehbare und fruchtbare Angriffsfläche.
Von den Ursprüngen im Jahr 2023 zu einer gefährlicheren Variante im Jahr 2025
GoBruteforcer, auch bekannt als GoBrut, wurde erstmals im März 2023 dokumentiert. Frühe Untersuchungen beschrieben eine auf Golang basierende Malware-Familie, die für Unix-ähnliche Systeme auf x86-, x64- und ARM-Architekturen entwickelt wurde. Sie setzte einen IRC-Bot zur Kommando- und Kontrollverwaltung ein, installierte eine Web-Shell für dauerhaften Fernzugriff und lud ein Brute-Force-Modul herunter, um nach weiteren anfälligen Hosts zu suchen.
Bis September 2025 entdeckten Forscher, dass Teile des Botnetzes zusammen mit einer anderen Malware-Variante, SystemBC, operierten, was auf eine gemeinsame Infrastruktur oder koordinierte Kontrolle hindeutet.
Mitte 2025 markierte einen bedeutenden technischen Sprung. Analysten identifizierten eine fortschrittlichere Variante mit einem stark verschleierten, in Golang neu geschriebenen IRC-Bot, verbesserten Persistenzmechanismen, Prozessmaskierungsfunktionen und dynamisch verwalteten Anmeldeinformationslisten, die bei Bedarf aktualisiert werden können.
Strategie für Anmeldeinformationen geprägt von KI und Entwicklergewohnheiten
Die Brute-Force-Komponente der Malware nutzt gezielt ausgewählte Kombinationen gängiger Benutzernamen und Passwörter wie „myuser:Abcd@123“ oder „appeaser:admin123456“. Diese Kombinationen sind nicht zufällig ausgewählt. Viele stammen aus Datenbank-Tutorials, Hosting-Dokumentationen und Herstellerbeispielen – Materialien, die häufig in große Trainingskorpora für Sprachmodelle eingeflossen sind. Daher verwenden KI-Tools in generierten Konfigurationsausschnitten oft dieselben Standardeinstellungen und standardisieren so unbeabsichtigt schwache Anmeldeinformationen für verschiedene Systeme.
Weitere Benutzernamen in der Rotation beziehen sich auf Kryptowährungs-Workflows (wie z. B. 'cryptouser', 'appcrypto', 'crypto_app' und 'crypto') oder zielen speziell auf phpMyAdmin-Umgebungen ab, darunter 'root', 'wordpress' und 'wpuser'.
Angreifer verwenden für jede Kampagne einen relativ kleinen, stabilen Passwortpool und aktualisieren die aufgabenbezogenen Listen anhand dieses Pools, während sie Benutzernamen und spezielle Passwörter mehrmals wöchentlich ändern. FTP-Angriffe werden anders behandelt: Die Brute-Force-Software enthält einen fest codierten Satz von Anmeldeinformationen, der den Standard-Webhosting-Systemen und Dienstkonten sehr ähnlich ist.
Die Infektionskette und die Fähigkeiten des Botnetzes
Beobachtete Angriffe beginnen meist mit einem im Internet zugänglichen FTP-Server auf einem XAMPP-Server. Sobald die Angreifer Zugriff erlangt haben, laden sie eine PHP-Webshell hoch. Diese Shell wird dann verwendet, um über ein auf die Architektur des Hosts zugeschnittenes Shell-Skript einen aktualisierten IRC-Bot abzurufen und auszuführen.
Nach einer Kompromittierung kann ein infiziertes System auf verschiedene Weise umfunktioniert werden:
- Es verwendet Brute-Force-Module, um Anmeldeversuche bei FTP-, MySQL-, PostgreSQL- und phpMyAdmin-Diensten über das Internet durchzuführen.
- Es hostet und verteilt schädliche Nutzdaten an neu kompromittierte Rechner.
- Es bietet Command-and-Control-Endpunkte im IRC-Stil oder fungiert als Fallback-C2-Server zur Verbesserung der Widerstandsfähigkeit des Botnetzes.
Direkte Beweise für Blockchain-orientierte Operationen
Weitere Untersuchungen ergaben, dass mindestens ein kompromittierter Server ein spezielles Modul nutzte, um eine Liste von TRON-Blockchain-Adressen zu durchlaufen. Mithilfe des öffentlichen Dienstes tronscanapi.com fragte die Schadsoftware Kontostände ab, um Wallets mit Guthaben zu identifizieren. Diese Fähigkeit deutet stark auf gezielte Aufklärung von Blockchain-Projekten und der zugehörigen Krypto-Infrastruktur hin und nicht nur auf opportunistische Scans.
Eine bleibende Lektion für Verteidiger
GoBruteforcer verdeutlicht ein umfassenderes, anhaltendes Sicherheitsproblem: das gefährliche Zusammenspiel von ungeschützten Diensten, schwachen oder wiederverwendeten Zugangsdaten und zunehmend automatisierten Angriffswerkzeugen. Obwohl das Botnetz selbst technisch nicht bahnbrechend ist, profitieren seine Betreiber enorm von der schieren Menge an falsch konfigurierten Servern, die noch immer im öffentlichen Internet zugänglich sind.
Für Verteidiger unterstreicht diese Kampagne eine bekannte, aber entscheidende Botschaft: Standard-Anmeldeinformationen abschaffen, administrative Schnittstellen einschränken, veraltete Systeme ausmustern und KI-generierte Bereitstellungsbeispiele als nicht vertrauenswürdige Ausgangspunkte und nicht als produktionsreife Konfigurationen betrachten.
