GoBruteforcer torna a colpire: la botnet sfrutta le configurazioni “copiate” dall’AI

È stata individuato che la botnet GoBruteforcer, sta sfruttando una debolezza sorprendentemente attuale: il riutilizzo su larga scala di configurazioni server generate dall’intelligenza artificiale. Un’abitudine sempre più diffusa che, di fatto, sta lasciando decine di migliaia di sistemi esposti ad attacchi automatizzati.

Secondo un recente report di Check Point Research (CPR), nel 2025 la minaccia si è evoluta in modo significativo, prendendo di mira server Linux che ospitano servizi comuni come MySQL, FTP e phpMyAdmin.

Gli analisti stimano che oltre 50.000 server accessibili da Internet possano essere vulnerabili a questa nuova ondata, che combina tecniche di brute-force tradizionali con sofisticati meccanismi di evasione.

Il paradosso dell’AI: non attacca, ma aiuta gli attaccanti

Avvio delle iscrizioni al corso Cyber Offensive Fundamentals Vuoi smettere di guardare tutorial e iniziare a capire davvero come funziona la sicurezza informatica? La base della sicurezza informatica, al di là di norme e tecnologie, ha sempre un unico obiettivo: fermare gli attacchi dei criminali informatici. Pertanto "Pensa come un attaccante, agisci come un difensore". Ti porteremo nel mondo dell'ethical hacking e del penetration test come nessuno ha mai fatto prima. Per informazioni potete accedere alla pagina del corso oppure contattarci tramite WhatsApp al numero 379 163 8765 oppure scrivendoci alla casella di posta [email protected]. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

GoBruteforcer non utilizza direttamente l’intelligenza artificiale. Tuttavia, il suo successo è strettamente legato al modo in cui gli sviluppatori impiegano i Large Language Model (LLM). Molti di questi modelli, addestrati su documentazione pubblica e repository open source, tendono a suggerire configurazioni standard con credenziali deboli o prevedibili.

I ricercatori di Check Point lo dimostrano con un esempio concreto: chiedendo a due LLM differenti di generare una configurazione Docker per MySQL, entrambi hanno prodotto snippet quasi identici, con nomi utente predefiniti e facilmente indovinabili.

Questa prevedibilità è oro per gli operatori della botnet. Le liste di credenziali utilizzate da GoBruteforcer contengono infatti username comuni come appuser, myuser o appuser1234, permettendo agli attaccanti di aggirare con facilità le difese di server gestiti in modo superficiale.

Come sottolinea CPR, non è detto che la botnet prenda di mira deliberatamente installazioni create con l’AI, ma la diffusione incontrollata di configurazioni “copiate e incollate” rende gli attacchi molto più efficaci.

Un obiettivo chiaro: il denaro

La campagna non ha solo finalità di espansione della botnet. Il movente è chiaramente economico. Gli analisti hanno osservato un interesse mirato verso database legati a progetti crypto e blockchain.

Su uno dei sistemi compromessi è stato scoperto un vero e proprio arsenale di strumenti per il furto di criptovalute: scanner TRON, utility per il token sweeping su TRON e BSC, e un file contenente circa 23.000 indirizzi TRON.

L’analisi delle transazioni on-chain ha confermato i sospetti peggiori: alcuni degli attacchi hanno effettivamente portato a guadagni concreti per gli operatori della botnet.

Un malware più maturo e difficile da individuare

Individuata per la prima volta nel 2023, la versione 2025 di GoBruteforcer mostra un’evoluzione tecnica evidente. Il modulo IRC del bot, originariamente scritto in C, è stato completamente riscritto in Go e sottoposto a un forte processo di offuscamento.

Il malware utilizza ora tecniche di process masquerading per confondersi con i processi di sistema. Attraverso la chiamata prctl con l’operazione PR_SET_NAME, il processo può assumere nomi legittimi come init, rendendo più difficile la sua individuazione durante controlli superficiali.

Scelta selettiva delle vittime

GoBruteforcer non colpisce a caso. Il sistema di generazione degli indirizzi IP è progettato per evitare reti considerate “ad alto rischio”.

In particolare, il malware integra una blacklist di 13 blocchi /8 storicamente associati al Dipartimento della Difesa degli Stati Uniti, probabilmente per eludere honeypot governativi e ridurre la probabilità di attirare attenzioni indesiderate.

Allo stesso modo, i grandi provider cloud come AWS vengono spesso esclusi perché ritenuti ambienti ad alta sorveglianza, con team di risposta agli abusi particolarmente aggressivi.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La redazione di Red Hot Cyber è composta da professionisti del settore IT e della sicurezza informatica, affiancati da una rete di fonti qualificate che operano anche in forma riservata. Il team lavora quotidianamente nell’analisi, verifica e pubblicazione di notizie, approfondimenti e segnalazioni su cybersecurity, tecnologia e minacce digitali, con particolare attenzione all’accuratezza delle informazioni e alla tutela delle fonti. Le informazioni pubblicate derivano da attività di ricerca diretta, esperienza sul campo e contributi provenienti da contesti operativi nazionali e internazionali.