Yeni bir dalga GoBruteforcer Saldırılar, Linux sunucularındaki FTP, MySQL, PostgreSQL ve phpMyAdmin gibi hizmetler için kullanıcı şifrelerini kaba kuvvetle zorlayabilecek bir botnet’e dahil etmek amacıyla kripto para birimi ve blockchain projelerinden oluşan veritabanlarını hedef aldı.
Check Point Research geçen hafta yayınlanan bir analizde şunları söyledi: “Mevcut kampanya dalgası iki faktörden kaynaklanıyor: ortak kullanıcı adlarını ve zayıf varsayılanları yayan yapay zeka tarafından oluşturulan sunucu dağıtım örneklerinin toplu olarak yeniden kullanılması ve FTP ve yönetici arayüzlerini minimum düzeyde güçlendirme ile açığa çıkaran XAMPP gibi eski web yığınlarının kalıcılığı.”
GoBrut olarak da adlandırılan GoBruteforcer, ilk olarak Mart 2023’te Palo Alto Networks Birim 42 tarafından belgelendi ve x86, x64 ve ARM mimarilerini çalıştıran Unix benzeri platformları hedef alarak bir Internet Relay Chat (IRC) botu ve uzaktan erişim için bir web kabuğu dağıtma ve ayrıca savunmasız sistemleri taramak ve botnet’in erişim alanını genişletmek için bir kaba kuvvet modülü getirme yeteneğini belgeledi.
Lumen Technologies’deki Black Lotus Labs ekibinin Eylül 2025’te yayınladığı bir raporda, SystemBC olarak bilinen başka bir kötü amaçlı yazılım ailesinin kontrolü altındaki virüslü botların bir kısmının da GoBruteforcer botnet’inin parçası olduğu ortaya çıktı.
Check Point, 2025’in ortalarında Golang kötü amaçlı yazılımının daha gelişmiş bir sürümünü tespit ettiğini, bu sürümün platformlar arası programlama dilinde yeniden yazılmış, oldukça karmaşık bir IRC botu, gelişmiş kalıcılık mekanizmaları, süreç maskeleme teknikleri ve dinamik kimlik bilgisi listelerini paketlediğini söyledi.
Kimlik bilgileri listesi, uzaktan oturum açmayı kabul edebilen yaygın kullanıcı adları ve parolaların (örneğin, kullanıcım:Abcd@123 veya appeaser:admin123456) bir kombinasyonunu içerir. Bu adların seçimi tesadüfi değildir; çünkü bunlar veritabanı eğitimlerinde ve satıcı belgelerinde kullanılmıştır; bunların tümü Büyük dil modellerini (LLM’ler) eğitmek için kullanılmış ve aynı varsayılan kullanıcı adlarıyla kod parçacıkları üretmelerine neden olmuştur.
Listedeki diğer kullanıcı adlarından bazıları kripto para birimi odaklıdır (örneğin, cryptouser, appcrypto, crypto_app ve crypto) veya phpMyAdmin panellerini hedefler (örneğin, root, wordpress ve wpuser).
Check Point, “Saldırganlar her kampanya için küçük, istikrarlı bir şifre havuzunu yeniden kullanıyor, bu havuzdaki görev başına listeleri yeniliyor ve farklı hedefleri takip etmek için kullanıcı adlarını ve niş eklemeleri haftada birkaç kez dönüşümlü olarak yapıyor.” dedi. “Diğer hizmetlerden farklı olarak, FTP kaba kuvvet, bruteforcer ikili dosyasına gömülü küçük, sabit kodlanmış bir kimlik bilgileri kümesi kullanır. Bu yerleşik ayar, web barındırma yığınlarına ve varsayılan hizmet hesaplarına işaret eder.”
Check Point tarafından gözlemlenen etkinlikte, XAMPP çalıştıran sunucularda internete açık bir FTP hizmeti, PHP web kabuğunu yüklemek için ilk erişim vektörü olarak kullanılıyor ve bu daha sonra sistem mimarisine dayalı bir kabuk betiği kullanarak IRC botunun güncellenmiş bir sürümünü indirmek ve çalıştırmak için kullanılıyor. Bir ana bilgisayara başarıyla virüs bulaştığında, üç farklı kullanıma hizmet edebilir:
- İnternet üzerinden FTP, MySQL, Postgres ve phpMyAdmin için parolayla oturum açmayı denemek üzere kaba kuvvet bileşenini çalıştırın
- Verileri güvenliği ihlal edilmiş diğer sistemlere barındırın ve sunun veya
- IRC tarzı kontrol uç noktalarını barındırın veya esneklik için yedek komut ve kontrol (C2) görevi yapın
Kampanyanın daha ayrıntılı analizi, tehlikeye atılan ana bilgisayarlardan birinin, TRON blockchain adresleri listesi boyunca yinelenen ve tronscanapi’yi kullanarak bakiyeleri sorgulayan bir modülü düzenlemek için kullanıldığını belirledi.[.]sıfır olmayan fonlara sahip hesapları tanımlamak için com hizmeti. Bu, blockchain projelerini hedeflemek için ortak bir çabaya işaret ediyor.
Check Point, “GoBruteforcer daha geniş ve kalıcı bir soruna örnek teşkil ediyor: Açıkta kalan altyapı, zayıf kimlik bilgileri ve giderek otomatikleşen araçların birleşimi.” dedi. “Botnet’in kendisi teknik olarak basit olsa da, operatörleri çevrimiçi kalan çok sayıda yanlış yapılandırılmış hizmetten yararlanıyor.”
Açıklama, GreyNoise’un tehdit aktörlerinin ticari LLM hizmetlerine erişim sağlayabilecek yanlış yapılandırılmış proxy sunucuları için interneti sistematik olarak taradığını ortaya çıkarmasıyla geldi.
İki kampanyadan biri, Ekim 2025 ile Ocak 2026 arasında Ollama’nın model çekme işlevselliğini ve Twilio SMS webhook entegrasyonlarını hedeflemek için sunucu tarafı istek sahteciliği (SSRF) güvenlik açıklarından yararlandı. ProjectDiscovery’nin OAST altyapısının kullanımına dayanarak, etkinliğin muhtemelen güvenlik araştırmacılarından veya hata ödül avcılarından kaynaklandığı varsayılıyor.
28 Aralık 2025’te başlayacak ikinci faaliyet grubunun, Alibaba, Anthropic, DeepSeek, Google, Meta, Mistral, OpenAI ve xAI ile ilişkili açıkta kalan veya yanlış yapılandırılmış LLM uç noktalarını belirlemeye yönelik yüksek hacimli bir numaralandırma çalışması olduğu değerlendiriliyor. Tarama 45.88.186 IP adreslerinden kaynaklandı[.]70 ve 204.76.203[.]125.
Tehdit istihbarat firması, “28 Aralık 2025’ten itibaren iki IP, 73’ten fazla LLM modeli uç noktasına yönelik metodik bir araştırma başlattı” dedi. “On bir gün içinde 80.469 oturum oluşturdular; bu, ticari API’lere erişimi sızdırabilecek yanlış yapılandırılmış proxy sunucuları için sistematik keşif aramasıydı.”