Montag, Januar 12, 2026
Netzpalaver
HomeSicherheit

„GoBruteforcer“ – Modulares Botnetz nutzt Standard-Zugangsdaten für Angriffe auf Webserver

12. Januar 2026

Check Point Research (CPR), die Sicherheitsforschungsabteilung von Check Point Software Technologies, hat eine neue, hochaktive Malware-Kampagne analysiert: GoBruteforcer (auch „GoBrut“ genannt). Dabei handelt es sich um ein in der Programmiersprache Go (Golang) entwickeltes, modulares Botnetz, das systematisch öffentlich erreichbare Web- und Datenbank-Services angreift – darunter FTP, MySQL, PostgreSQL und phpMyAdmin auf Linux-Servern. Die Kampagne nutzt verbreitete Benutzernamen und schwache Passwörter, die in vielen Server-Umgebungen nach wie vor unverändert im Einsatz sind.

 

Wie geht GoBruteforcer vor?

Das Botnetz GoBruteforcer verwandelt kompromittierte Linux-Server in Scanning- und Brute-Force-Knoten. Infizierte Hosts werden in das Botnetz integriert, akzeptieren Remote-Kommandos der Operatoren und werden für weitere Scan- und Brute-Force-Aktivitäten genutzt. Neu entdeckte schwache Credentials können dabei u. a. zur Datenexfiltration, zum Anlegen von Backdoor-Accounts, zum Weiterverkauf von Zugriffen und zur Expansion des Botnetzes missbraucht werden. Die Verbreitung erfolgt typischerweise über eine Kette aus Webshell, Downloader, IRC-Bot und Bruteforcer-Modul. CPR schätzt, dass mehr als 50.000 öffentlich erreichbare Server weltweit potenziell für diese Art von Angriffen anfällig sein könnten.

 

Warum GoBruteforcer eine ernsthafte Bedrohung darstellt

Der modulare Aufbau macht GoBruteforcer flexibel: Nach der Infektion können Angreifer Systeme aus der Ferne steuern und sie für großflächige Scan- und Passwortangriffe auf frei erreichbare Server nutzen. CPR beobachtete seit Mitte 2025 eine weiterentwickelte Version mit zusätzlichen Tarn- und Persistenzfunktionen. Auffällig ist zudem der Fokus auf krypto- und blockchainbezogene Ziele: CPR sah Angriffe auf Datenbanken von Krypto- und Blockchain-Projekten und fand auf kompromittierten Hosts Tools zum Auffinden und Abschöpfen von Wallet-Guthaben (u. a. im TRON- und BSC-Umfeld).

Eine Analyse von Blockchain-Transaktionen deutet darauf hin, dass zumindest ein Teil der Angriffe erfolgreich war. Da Web- und Datenbankserver häufig geschäftskritisch sind, drohen Datenabfluss, unautorisierte Zugänge und Folgeschäden in nachgelagerten Systemen.

 

Standard-Zugangsdaten als unbeabsichtigter Brandbeschleuniger

Laut CPR richtet sich GoBruteforcer nicht gezielt gegen KI-assistierte Installationen – dennoch kann der KI-Boom die Angriffe begünstigen: Wiederverwendete Beispiel-Setups enthalten oft identische Standard-Usernames und Passwörter, die in Produktivsystemen zu selten angepasst werden. Zusätzlich begünstigen ältere Komplettpakete wie XAMPP die aktuelle Welle, weil Verwaltungs- und FTP-Zugänge dort häufig ohne ausreichende Absicherung nach außen erreichbar sind – teils inklusive Default-Zugangsdaten.

Die technische Analyse von CPR zeigt, dass GoBruteforcer in mehreren Schritten operiert:

  1. Scanning & Zielerkennung: Das Botnetz scannt IP-Adressbereiche nach offen erreichbaren Diensten wie FTP, Datenbanken (MySQL/PostgreSQL) und Web-Panels wie phpMyAdmin.
  2. Brute-Force-Angriffe mit bekannten Zugangsdaten: Der C2-Server legt fest, welcher Service angegriffen wird, und überträgt für Brute-Force-Aufträge typischerweise eine Credential-Liste mit 200 Kombinationen (User/Pass). Innerhalb einer Kampagne werden die Listen regelmäßig rotiert und pro Task neu aus einem vergleichsweise kleinen Pool schwacher Passwörter generiert.
    FTP unterscheidet sich von den anderen Zielen: hier nutzt der Bruteforcer laut CPR einen kleinen, fest eingebetteten Credential-Satz, der auf typische Defaults/Service-Accounts und Web-Hosting-Stacks (insbesondere XAMPP) hindeutet.
  3. Modulare Botnetz-Architektur: GoBruteforcer ist als Toolkit modular aufgebaut: Ein IRC-basierter Bot ermöglicht die Command-and-Control-Kommunikation und Remote-Steuerung, während der Bruteforcer sowie ergänzende Scanner-/Hilfsfunktionen abhängig von der jeweiligen Kampagne eingesetzt werden.
  4. Missbrauch kompromittierter Systeme: Erfolgreich kompromittierte Server werden in das Botnetz integriert und als Scanning- und Brute-Force-Knoten weiterverwendet. Sie akzeptieren dabei Remote-Kommandos der Operatoren.

 

Einordnung und Empfehlungen

Die Entdeckung von GoBruteforcer verdeutlicht einen anhaltenden Trend: Angreifer nutzen vorhersehbare Konfigurationen, exponierte Management-/Datenbank-Interfaces und schwache Zugangsdaten im industriellen Maßstab aus. Besonders riskant sind Umgebungen, in denen Beispielkonfigurationen (auch aus KI-Tools) unverändert übernommen werden oder Legacy-Stacks wie XAMPP mit FTP/Admin-Oberflächen ins Internet ragen.

Aus der Analyse lassen sich für Unternehmen folgende Maßnahmen ableiten:

  • Konsequente Zugangshärtung: Standard-Benutzernamen und -Passwörter müssen ausnahmslos ersetzt werden. Schwache/geleakte Passwörter sollten technisch unterbunden werden und User zur Neuerstellung aufgefordert werden (z. B. Passwort-Policies/Blocklisten).
  • Port- und Service-Hygiene: Datenbank- und Verwaltungsoberflächen nicht direkt aus dem Internet erreichbar machen; unnötige Services schließen oder segmentieren.
  • Monitoring & Schutz vor Brute-Force: Ungewöhnliche Scan- und Login-Muster (Sprays, Username-Fokus, schnelle Fehlversuche) frühzeitig erkennen und automatisiert blocken (Rate Limits, Lockouts, WAF/IDS/IPS).
  • Bewusster Umgang mit Konfigurationsvorlagen: Beispiele aus Dokumentationen, Tutorials oder KI-Assistenten grundsätzlich prüfen, härten und an interne Standards anpassen.

 

Info: Weitere technische Details und die vollständige Analyse finden Sie im Blogbeitrag von Check Point Research:
https://research.checkpoint.com/2026/inside-gobruteforcer-ai-generated-server-defaults-weak-passwords-and-crypto-focused-campaigns/

#CheckPoint

Tags:BotnetzBrute-ForceCheck PointCybersecurityCybersicherheitDDoSGoBruteforcer

Weitere interessante Beiträge

load more