Nghiên cứu của Check Point cho thấy botnet GoBruteforcer đang lợi dụng mật khẩu mặc định yếu và mẫu triển khai “dễ đoán” (kể cả do AI tạo) để xâm nhập máy chủ Linux của các dự án tiền điện tử và blockchain.
GoBruteforcer biến máy chủ bị nhiễm thành các nút bẻ khóa mật khẩu tự động, nhắm vào hạ tầng phổ biến như cơ sở dữ liệu, dịch vụ truyền tệp và bảng quản trị web. Khi thông tin đăng nhập bị lộ hoặc đặt yếu, rủi ro bị chiếm quyền và rò rỉ dữ liệu tăng mạnh.
- GoBruteforcer quét internet để tìm dịch vụ cấu hình kém và thử đăng nhập bằng tên người dùng phổ biến, mật khẩu yếu.
- Botnet vượt qua lớp bảo vệ của FTP, MySQL, PostgreSQL, phpMyAdmin và tái sử dụng mật khẩu lấy được để mở rộng xâm nhập.
- Check Point cảnh báo mật khẩu mặc định “dễ đoán” từ hướng dẫn/đoạn mã do AI tạo, cộng với stack cũ như XAMPP, làm tăng bề mặt tấn công.
GoBruteforcer biến máy chủ Linux thành mạng bẻ khóa mật khẩu
GoBruteforcer xâm nhập máy chủ Linux rồi biến chúng thành các “node” tự động thử mật khẩu, nhận lệnh từ máy chủ điều khiển để tấn công các dịch vụ khác và mở rộng botnet.
Check Point mô tả GoBruteforcer là một botnet malware có khả năng chiếm quyền máy chủ và chuyển chúng thành các nút bẻ khóa mật khẩu tự động. Các mục tiêu bị ảnh hưởng gồm hạ tầng thường gặp ở dự án tiền điện tử như máy chủ cơ sở dữ liệu, dịch vụ truyền tệp và các bảng quản trị web.
Cơ chế hoạt động trọng tâm là quét internet để tìm dịch vụ bảo mật kém, sau đó thử đăng nhập bằng các tên người dùng phổ biến và mật khẩu yếu. Khi một hệ thống bị xâm nhập, nó được “kết nạp” vào mạng phân tán, cho phép nhóm tấn công truy cập từ xa để vận hành các chiến dịch tiếp theo.
Botnet vượt qua FTP, MySQL, PostgreSQL và phpMyAdmin bằng brute-force
Theo báo cáo của Check Point, GoBruteforcer có thể thử đăng nhập hàng loạt vào FTP, MySQL, PostgreSQL và phpMyAdmin, nơi thường lưu dữ liệu người dùng và logic vận hành của ứng dụng blockchain.
Báo cáo của Check Point được công bố cho biết botnet có thể “đi vòng” các biện pháp bảo vệ thông dụng quanh các dịch vụ kể trên. Đây là các thành phần được startup blockchain và nhóm phát triển ứng dụng phi tập trung dùng để quản lý dữ liệu người dùng, logic ứng dụng và dashboard nội bộ.
Các hệ thống đã bị GoBrute xâm nhập có thể nhận lệnh từ máy chủ command-and-control, chỉ định dịch vụ nào cần tấn công và cung cấp bộ thông tin đăng nhập cho các đợt brute-force. Thông tin đăng nhập bị lộ có thể bị tái sử dụng để truy cập hệ thống khác, đánh cắp dữ liệu riêng tư, tạo tài khoản ẩn và gia tăng phạm vi của botnet.
Check Point cũng lưu ý máy chủ bị nhiễm có thể bị tái mục đích để lưu trữ payload độc hại, phát tán malware sang nạn nhân mới, hoặc trở thành máy chủ điều khiển dự phòng nếu hệ thống trung tâm gặp gián đoạn.
Mật khẩu mặc định do AI tạo và hướng dẫn sao chép làm tăng tính “dự đoán được”
Khi đội ngũ phát triển dùng đoạn mã/hướng dẫn do LLM tạo hoặc sao chép, tên người dùng và mật khẩu mặc định dễ rơi vào mẫu phổ biến, khiến botnet đoán trúng nhanh hơn nếu hệ thống bị lộ ra internet.
Nhiều nhóm phát triển, kể cả trong các công ty công nghệ lớn như Microsoft và Amazon, có xu hướng dùng code snippet và hướng dẫn setup do mô hình ngôn ngữ lớn tạo hoặc sao chép từ diễn đàn. Check Point lập luận rằng vì AI thường bắt chước dữ liệu đã học thay vì “phát minh” mật khẩu mới, các username và mật khẩu mặc định dễ trở nên dự đoán được, đồng thời không được thay đổi kịp trước khi dịch vụ bị phơi ra internet.
Rủi ro tăng thêm khi dùng các web stack cũ như XAMPP, vốn có thể mặc định mở các dịch vụ quản trị và tạo điểm vào thuận lợi cho kẻ tấn công. Trong bối cảnh dự án tiền điện tử thường triển khai nhanh, chỉ một cấu hình sai và mật khẩu yếu có thể khiến toàn bộ máy chủ quản trị bị kiểm soát.
Chiến dịch GoBruteforcer được ghi nhận từ năm 2023 và mở rộng trong các năm sau
GoBruteforcer được Unit 42 ghi nhận từ tháng 3/2023 và các nghiên cứu sau đó cho thấy nó nhắm tới nhiều kiến trúc hệ thống, đồng thời có liên hệ chồng lấp với hạ tầng nhiễm các họ malware khác.
GoBruteforcer lần đầu được Palo Alto Networks Unit 42 ghi nhận vào tháng 3/2023, mô tả khả năng xâm nhập các hệ thống kiểu Unix trên kiến trúc x86, x64 và ARM. Malware có thể triển khai bot Internet Relay Chat và web shell để kẻ tấn công duy trì quyền truy cập từ xa.
Tháng 9/2025, Black Lotus Labs thuộc Lumen Technologies báo cáo một phần máy bị nhiễm liên quan họ malware SystemBC cũng đồng thời là node của GoBruteforcer. Check Point so sánh danh sách mật khẩu được dùng trong tấn công với cơ sở dữ liệu khoảng 10 triệu thông tin đăng nhập bị rò rỉ và ghi nhận mức trùng lặp khoảng 2,44%.
Từ mức trùng lặp này, nhóm phân tích ước tính có thể có “hàng chục nghìn” máy chủ cơ sở dữ liệu chấp nhận một trong các mật khẩu mà botnet sử dụng. Ngoài ra, báo cáo Google Cloud Threat Horizons 2024 nêu thông tin đăng nhập yếu hoặc thiếu là nguyên nhân của 47,2% các vector truy cập ban đầu trong các môi trường cloud bị xâm nhập.
Chiến dịch nhắm vào tiền điện tử dùng username theo chủ đề crypto và quét ví TRON
Trong môi trường tiền điện tử, GoBruteforcer được quan sát dùng username/mật khẩu theo chủ đề crypto và có trường hợp máy chủ bị chiếm quyền bị dùng để quét địa chỉ TRON nhằm tìm ví còn số dư.
Check Point cho biết khi lần vết GoBrute trong các môi trường tiền điện tử, kẻ tấn công dùng các biến thể username và mật khẩu theo quy ước đặt tên của dự án blockchain. Một số chiến dịch khác nhắm trực tiếp các bảng phpMyAdmin liên kết website WordPress, vốn thường được dùng cho trang dự án và dashboard.
“Một số tác vụ rõ ràng là nhắm theo ngành. Ví dụ, chúng tôi quan sát một cuộc tấn công dùng các username theo chủ đề crypto như cryptouser, appcrypto, crypto_app và crypto. Trong các lượt này, mật khẩu kết hợp danh sách yếu tiêu chuẩn với các phỏng đoán theo crypto như cryptouser1 hoặc crypto_user1234.”
– Check Point, báo cáo nghiên cứu
Đáng chú ý, Check Point xác định một máy chủ bị xâm nhập đang lưu trữ mô-đun quét địa chỉ blockchain TRON và truy vấn số dư thông qua một blockchain API công khai để nhận diện ví đang nắm giữ tiền. Theo nhận định của hãng, sự kết hợp giữa hạ tầng bị phơi bày, thông tin đăng nhập yếu và công cụ tự động hóa ngày càng mạnh giúp kẻ vận hành botnet khai thác hiệu quả dù kỹ thuật không quá phức tạp.
Những câu hỏi thường gặp
GoBruteforcer là gì và gây hại như thế nào?
GoBruteforcer là botnet malware có thể xâm nhập máy chủ Linux rồi biến chúng thành nút bẻ khóa mật khẩu tự động. Nó nhận lệnh từ máy chủ điều khiển để tấn công các dịch vụ khác, tái sử dụng thông tin đăng nhập lấy được, đánh cắp dữ liệu và mở rộng mạng lưới lây nhiễm.
GoBruteforcer thường nhắm vào những dịch vụ nào?
Theo Check Point, botnet có thể nhắm vào các dịch vụ như FTP, MySQL, PostgreSQL và phpMyAdmin. Đây là các thành phần phổ biến trong hạ tầng vận hành của dự án blockchain, thường liên quan trực tiếp tới dữ liệu người dùng, logic ứng dụng và hệ thống quản trị.
Vì sao cấu hình/mật khẩu do AI tạo lại dễ bị đoán?
Check Point cho rằng khi dùng đoạn mã hoặc hướng dẫn do mô hình AI tạo, các username và mật khẩu mặc định dễ rơi vào mẫu phổ biến vì AI thường bắt chước dữ liệu đã học. Nếu đội ngũ không thay đổi kịp trước khi dịch vụ đưa lên internet, botnet có thể đoán trúng nhanh bằng danh sách mật khẩu yếu.
Có dấu hiệu nào cho thấy chiến dịch nhắm riêng lĩnh vực tiền điện tử?
Có. Check Point quan sát các lượt tấn công dùng username theo chủ đề crypto và biến thể mật khẩu tương ứng, đồng thời ghi nhận trường hợp máy chủ bị chiếm quyền được dùng để quét địa chỉ TRON và truy vấn số dư qua blockchain API công khai nhằm tìm ví có tiền.