Expertos en ciberseguridad detectaron un módulo escrito en Go que aparenta ser una utilidad de fuerza bruta para servicios SSH, aunque en realidad está diseñado para sustraer credenciales y transferirlas de manera oculta a través de un bot de Telegram.
De acuerdo con el investigador de Socket, Kirill Boychenko, “tras el primer inicio de sesión exitoso, el paquete transmite la IP objetivo, junto con el usuario y la contraseña comprometidos, a un bot de Telegram configurado por el atacante.”
El paquete fraudulento, denominado “golang-random-ip-ssh-bruteforce”, fue relacionado con la cuenta de GitHub IllDieAnyway (G3TT), actualmente inaccesible. No obstante, sigue disponible en pkg.go.dev, donde se publicó el 24 de junio de 2022.
Cómo opera el malware
El software genera direcciones IPv4 aleatorias para localizar servicios SSH expuestos en el puerto 22 y, posteriormente, intenta autenticarse mediante una lista de combinaciones preestablecidas de usuarios y contraseñas simples. Una vez obtenidas, las credenciales se envían al atacante a través de Telegram.
Una particularidad es que el código anula la validación de la clave de host usando ssh.InsecureIgnoreHostKey, lo que permite aceptar conexiones sin verificar la identidad del servidor.
El diccionario usado es básico: solo prueba con los usuarios root y admin, combinados con contraseñas débiles como 12345678, qwerty, password, admin, test, letmein, entre otras.
El proceso se repite en bucle para generar IPs nuevas y ejecutar múltiples intentos simultáneamente. Los accesos exitosos son enviados mediante la API de Telegram al bot @sshZXC_bot, que reenvía los datos a la cuenta @io_ping (alias Gett).
Relación con otros proyectos maliciosos
Una copia archivada del perfil de GitHub eliminado muestra que IllDieAnyway también distribuyó otras herramientas ofensivas, como un escáner de puertos, un analizador de perfiles de Instagram y una botnet en PHP conocida como Selica-C2.
En su canal de YouTube —aún activo— se encuentran videos cortos en los que enseña “cómo hackear un bot de Telegram” y presume de un “SMS bomber” supuestamente usado en Rusia para enviar mensajes masivos y spam en VK. Todo apunta a que el autor tiene origen ruso.
Riesgo distribuido y difícil detección
Boychenko señaló que “este paquete reparte la tarea de escaneo y fuerza bruta entre usuarios desprevenidos, distribuye el riesgo en varias IP y centraliza los accesos exitosos en un solo bot de Telegram controlado por el atacante.”
El código está diseñado para priorizar la obtención rápida de credenciales, finalizando tras el primer inicio de sesión válido. Además, al emplear la API de Telegram sobre HTTPS, el tráfico resultante se camufla como tráfico web normal, lo que le permite evadir con facilidad controles de salida convencionales.
https://thehackernews[.]com
