一波新的GoBruteforcer攻击浪潮正在针对加密货币和区块链项目的数据库，将它们纳入僵尸网络，该网络能够对Linux服务器上的FTP、MySQL、PostgreSQL和phpMyAdmin等服务进行用户密码暴力破解。

Check Point研究团队在上周发布的分析报告中表示："当前这波攻击活动主要由两个因素推动：大规模重用AI生成的服务器部署示例，这些示例传播了常见用户名和弱默认设置；以及XAMPP等传统Web堆栈的持续存在，这些堆栈暴露FTP和管理界面，但缺乏足够的安全加固。"

GoBruteforcer，也称为GoBrut，最初由Palo Alto Networks Unit 42在2023年3月首次记录，该报告记录了其针对运行x86、x64和ARM架构的Unix类平台的能力，能够部署Internet中继聊天（IRC）机器人和用于远程访问的Web shell，同时获取暴力破解模块来扫描易受攻击的系统并扩大僵尸网络的影响范围。

Lumen Technologies公司Black Lotus Labs团队在2025年9月的后续报告中发现，受另一个名为SystemBC的恶意软件家族控制的一部分受感染机器人也是GoBruteforcer僵尸网络的一部分。

Check Point表示，他们在2025年中期识别出了这个Golang恶意软件的更复杂版本，其中包含一个用跨平台编程语言重写的高度混淆IRC机器人、改进的持久性机制、进程伪装技术和动态凭证列表。

凭证列表包含常见用户名和密码的组合（例如，myuser:Abcd@123或appeaser:admin123456），这些可以接受远程登录。这些名称的选择并非偶然，它们已被用在数据库教程和供应商文档中，所有这些都被用来训练大语言模型，导致它们生成具有相同默认用户名的代码片段。

列表中的其他一些用户名专门针对加密货币（例如，cryptouser、appcrypto、crypto_app和crypto）或针对phpMyAdmin面板（例如，root、wordpress和wpuser）。

Check Point表示："攻击者为每个活动重用一个小而稳定的密码池，从该池中刷新每个任务的列表，并每周数次轮换用户名和特定目标添加项来追求不同的目标。与其他服务不同，FTP暴力破解使用嵌入在暴力破解器二进制文件中的一小组硬编码凭证。这个内置集合指向Web托管堆栈和默认服务账户。"

在Check Point观察到的活动中，运行XAMPP的服务器上暴露在互联网上的FTP服务被用作初始访问向量来上传PHP Web shell，然后使用该shell基于系统架构使用shell脚本下载并执行IRC机器人的更新版本。一旦主机成功感染，它可以提供三种不同的用途：

运行暴力破解组件，尝试对互联网上的FTP、MySQL、Postgres和phpMyAdmin进行密码登录

托管并向其他被攻陷的系统提供有效载荷，或

托管IRC式控制端点或作为备份命令控制中心以增强弹性

对该活动的进一步分析确定，其中一个被攻陷的主机已被用来部署一个模块，该模块遍历TRON区块链地址列表，并使用tronscanapi[.]com服务查询余额，以识别具有非零资金的账户。这表明有针对区块链项目的协调努力。

Check Point表示："GoBruteforcer体现了一个更广泛且持续存在的问题：暴露的基础设施、弱凭证和日益自动化的工具的结合。虽然僵尸网络本身在技术上是直接的，但其操作者受益于仍在线的大量配置错误服务。"

这一披露之际，GreyNoise透露威胁行为者正在系统性地扫描互联网，寻找可能提供商业大语言模型服务访问权限的配置错误代理服务器。

在两个活动中，一个利用服务器端请求伪造（SSRF）漏洞来针对Ollama的模型拉取功能和Twilio SMS webhook集成，时间跨度从2025年10月到2026年1月。基于ProjectDiscovery的OAST基础设施的使用，据推测该活动可能源自安全研究人员或漏洞赏金猎人。

第二组活动从2025年12月28日开始，被评估为大批量枚举努力，旨在识别与阿里巴巴、Anthropic、DeepSeek、谷歌、Meta、Mistral、OpenAI和xAI相关的暴露或配置错误的大语言模型端点。扫描源自IP地址45.88.186[.]70和204.76.203[.]125。

威胁情报公司表示："从2025年12月28日开始，两个IP对73多个大语言模型端点发起了有条不紊的探测。在十一天内，它们产生了80,469个会话——系统性侦察，寻找可能泄露商业API访问权限的配置错误代理服务器。"

Q&A

Q1：GoBruteforcer僵尸网络主要攻击哪些目标？

A：GoBruteforcer主要针对加密货币和区块链项目的数据库进行攻击，通过暴力破解Linux服务器上的FTP、MySQL、PostgreSQL和phpMyAdmin等服务的用户密码，将这些系统纳入僵尸网络。特别关注使用XAMPP等传统Web堆栈且安全加固不足的服务器。

Q2：为什么AI生成的代码会增加GoBruteforcer攻击的成功率？

A：因为AI生成的服务器部署示例大量重用了常见的用户名和弱默认密码（如myuser:Abcd@123），这些凭证组合来自数据库教程和供应商文档，而这些文档被用来训练大语言模型，导致AI生成的代码片段包含相同的默认用户名，为攻击者提供了更多可利用的弱凭证。

Q3：被GoBruteforcer感染的主机会被如何利用？

A：感染的主机有三种用途：第一，运行暴力破解组件对互联网上的各种服务进行密码攻击；第二，托管并向其他被攻陷系统提供恶意载荷；第三，充当IRC式控制端点或备份命令控制中心以增强僵尸网络的弹性。某些被攻陷主机还被用来扫描TRON区块链地址以寻找有资金的账户。