Gelombang Serangan GoBruteforcer Baru Sasar Proyek Kripto dan Blockchain

Gelombang serangan siber terbaru yang melibatkan malware botnet GoBruteforcer kembali meningkat dan kini secara agresif menargetkan database milik proyek kripto dan blockchain. Serangan ini memanfaatkan server terbuka di internet yang diduga dikonfigurasi menggunakan contoh konfigurasi hasil generasi kecerdasan buatan, sehingga meninggalkan banyak celah keamanan.

GoBruteforcer, yang juga dikenal sebagai GoBrut, merupakan botnet berbasis bahasa pemrograman Golang. Malware ini secara khusus menargetkan layanan yang terekspos seperti FTP, MySQL, PostgreSQL, serta panel phpMyAdmin. Dalam operasinya, GoBruteforcer sering memanfaatkan server Linux yang telah dikompromikan untuk memindai alamat IP publik secara acak dan melancarkan serangan brute-force terhadap layanan login.

Peneliti dari Check Point memperkirakan terdapat lebih dari 50.000 server yang menghadap ke internet dan berpotensi rentan terhadap serangan GoBruteforcer. Akses awal ke sistem korban umumnya diperoleh melalui server FTP pada instalasi XAMPP, yang kerap masih menggunakan kata sandi default lemah apabila administrator tidak melakukan konfigurasi keamanan lanjutan.

Setelah penyerang berhasil masuk ke layanan FTP menggunakan akun standar seperti daemon atau nobody, langkah berikutnya biasanya adalah mengunggah web shell ke direktori webroot. Web shell ini juga dapat ditanam melalui jalur lain, misalnya lewat server MySQL atau panel phpMyAdmin yang salah konfigurasi. Rantai infeksi kemudian berlanjut dengan pengunduhan komponen tambahan, termasuk bot IRC dan modul brute-force.

Aktivitas berbahaya GoBruteforcer umumnya dimulai setelah jeda 10 hingga 400 detik. Malware ini dapat menjalankan hingga 95 thread brute-force secara bersamaan pada arsitektur x86_64. Setiap thread akan menghasilkan satu alamat IPv4 publik secara acak, memindai port layanan tertentu, mencoba daftar kredensial yang tersedia, lalu berhenti. Proses ini terus diulang dengan thread baru untuk menjaga tingkat serangan tetap tinggi, sambil menghindari jaringan privat, rentang IP cloud AWS, dan jaringan milik pemerintah Amerika Serikat.

Modul FTP dalam GoBruteforcer mengandalkan daftar 22 pasangan nama pengguna dan kata sandi yang ditanam langsung di dalam biner malware. Kredensial ini sangat mirip dengan akun default atau akun yang umum digunakan dalam tumpukan web hosting seperti XAMPP, sehingga memperbesar peluang keberhasilan serangan pada sistem yang tidak dikonfigurasi dengan baik.

Menurut Check Point, kampanye terbaru GoBruteforcer didorong oleh dua tren utama. Pertama, penggunaan ulang potongan konfigurasi server yang dihasilkan oleh large language model (LLM). Contoh konfigurasi ini sering kali menyertakan nama pengguna yang mudah ditebak, seperti appuser, myuser, atau operator. Nama-nama tersebut kerap muncul dalam panduan Docker dan DevOps berbasis AI, dan diduga langsung diterapkan pada sistem produksi tanpa pengamanan tambahan.

Faktor kedua adalah masih banyaknya penggunaan stack server lama seperti XAMPP yang secara default mengaktifkan layanan FTP dan menyertakan kredensial bawaan. Kondisi ini membuka akses langsung ke direktori webroot, sehingga memudahkan penyerang menyisipkan web shell dan melanjutkan kompromi sistem.

Dalam salah satu kampanye yang dianalisis, Check Point menemukan host yang telah terinfeksi digunakan untuk menjalankan alat pemindai dompet kripto berbasis jaringan TRON dan Binance Smart Chain. Penyerang memanfaatkan berkas berisi sekitar 23.000 alamat TRON untuk melakukan pemindaian otomatis dan menguras dompet yang terdeteksi memiliki saldo.

Untuk melindungi sistem dari ancaman GoBruteforcer, administrator disarankan menghindari penggunaan panduan deployment hasil generasi AI tanpa audit keamanan. Penggunaan nama pengguna non-standar dengan kata sandi kuat dan unik menjadi langkah dasar yang wajib diterapkan. Selain itu, layanan FTP, phpMyAdmin, MySQL, dan PostgreSQL perlu diperiksa untuk memastikan tidak terekspos ke publik. Penggantian stack lama seperti XAMPP dengan solusi yang lebih modern dan aman juga direkomendasikan guna mengurangi risiko serangan lanjutan.