Research & Threat Intel

Inteligencia desde
el frente

Análisis de técnicas de ataque y tendencias de amenazas basados en los intentos de intrusión capturados por nuestro honeypot en producción.

PDF PDF · ES / EN
Informe completo · Serie de inteligencia
Anatomía de un ataque SSH
4 capítulos · Echo → GPU Hunter → Dropper → Escalada root
Disponible en español e inglés · Available in Spanish and English
Descargar PDF (ES) → Download PDF (EN) →
Sesión realFactor humanocurl | bash

Entra como root y lo primero que hace es presumir de specs con neofetch

No todos los que llaman a la puerta son bots. Esta sesión la condujo una persona: un cliente SSH de escritorio, credenciales tecleadas y una obsesión muy humana — instalar neofetch para ver de qué máquina se había apoderado. Lo intentó de cinco maneras distintas.

Credential StuffingCampañasOPSEC

Sondeo silencioso cuando el atacante solo verifica que tu contraseña funciona

De las 143.337 sesiones que registró el honeypot en ocho días, 3.399 —el 2,4%— se autenticaron y se desconectaron sin ejecutar un solo comando. Pocas en número, pero reveladoras: no buscan la máquina, solo comprueban si la credencial funciona.

Malware Botnet Cryptomining

XMRig en modo stealth: cómo los mineros evitan detección en 2026

El cryptomining no autorizado llega en dos fases. Primero un GPU hunter silencioso verifica si la máquina tiene GPU. Solo entonces instala el minero. 18.276 sesiones documentadas.

Credential Stuffing

Las contraseñas más usadas en ataques SSH: dataset de nuestro honeypot

26.345 credenciales reales capturadas en tres días. El hallazgo: no son contraseñas débiles genéricas — es terminología de nodos Solana. sol, firedancer, validator en todos los diccionarios.

Campañas Infraestructura

Campaña coordinada: 53 IPs, un cliente Go, un objetivo

El 99,5% de las conexiones usan SSH-2.0-Go — fingerprint de un scanner personalizado. Análisis de la infraestructura, distribución de carga y arquitectura de botnet observada.

APT Anti-forensics Espionaje

Anti-forensics SSH: la sesión que intentó borrar sus huellas

Una sesión con FinalShell (cliente JSch) ejecutó exactamente 7 comandos — todos para eliminar logs. journalctl --vacuum-size=1K, history -c, wtmp, btmp, lastlog. Lo que no consiguió borrar.

Campañas En vivo

Resumen: estadísticas de ataques SSH capturados por nuestro honeypot

Sesiones SSH, IPs únicas, comandos y credenciales actualizados en tiempo real. Con selector de ventana temporal para explorar cualquier rango de fechas.

Malware Dropper Campañas

Dropper en producción: análisis de loader.sh y el payload que no se ejecutó

3 URLs de payload, 6 descargas, 259 intentos de ejecución, 0 bytes ejecutados. Análisis de la infraestructura del dropper y la cadena GPU hunter → payload.

Persistencia Escalada Campañas

Escalada de cuenta: 21 intentos de cambiar la contraseña de root

21 sesiones ejecutaron passwd tras autenticarse. Sin binarios, sin crontab, sin artefactos. El cambio de contraseña es la persistencia más silenciosa que existe.

Automatización Campañas Reconocimiento

El primer comando del scanner: por qué todo ataque SSH empieza con echo

12.358 comandos echo en tres días. No es ruido — es el protocolo universal con el que los scanners verifican que hay un shell funcional antes de lanzar el ataque real.

Research en tu bandeja de entrada

Suscríbete al boletín mensual de threat intelligence. Sin spam, solo datos.

Publicamos análisis basados en datos reales del honeypot. Sin spam, sin frecuencia inventada.