Análisis de técnicas de ataque y tendencias de amenazas basados en los intentos de intrusión capturados por nuestro honeypot en producción.
Análisis de un patrón de ataque recurrente observado en nuestro honeypot: múltiples IPs coordinadas, diccionarios de credenciales comunes y descarga de payloads ELF. TTPs, infraestructura y dropper documentados.
Leer investigación completa →No todos los que llaman a la puerta son bots. Esta sesión la condujo una persona: un cliente SSH de escritorio, credenciales tecleadas y una obsesión muy humana — instalar neofetch para ver de qué máquina se había apoderado. Lo intentó de cinco maneras distintas.
De las 143.337 sesiones que registró el honeypot en ocho días, 3.399 —el 2,4%— se autenticaron y se desconectaron sin ejecutar un solo comando. Pocas en número, pero reveladoras: no buscan la máquina, solo comprueban si la credencial funciona.
El cryptomining no autorizado llega en dos fases. Primero un GPU hunter silencioso verifica si la máquina tiene GPU. Solo entonces instala el minero. 18.276 sesiones documentadas.
26.345 credenciales reales capturadas en tres días. El hallazgo: no son contraseñas débiles genéricas — es terminología de nodos Solana. sol, firedancer, validator en todos los diccionarios.
El 99,5% de las conexiones usan SSH-2.0-Go — fingerprint de un scanner personalizado. Análisis de la infraestructura, distribución de carga y arquitectura de botnet observada.
Una sesión con FinalShell (cliente JSch) ejecutó exactamente 7 comandos — todos para eliminar logs. journalctl --vacuum-size=1K, history -c, wtmp, btmp, lastlog. Lo que no consiguió borrar.
Sesiones SSH, IPs únicas, comandos y credenciales actualizados en tiempo real. Con selector de ventana temporal para explorar cualquier rango de fechas.
3 URLs de payload, 6 descargas, 259 intentos de ejecución, 0 bytes ejecutados. Análisis de la infraestructura del dropper y la cadena GPU hunter → payload.
21 sesiones ejecutaron passwd tras autenticarse. Sin binarios, sin crontab, sin artefactos. El cambio de contraseña es la persistencia más silenciosa que existe.
12.358 comandos echo en tres días. No es ruido — es el protocolo universal con el que los scanners verifican que hay un shell funcional antes de lanzar el ataque real.