Contexto: qué capturó el honeypot
Entre el 11 y el 13 de junio de 2026, nuestro honeypot SSH registró una campaña de credential stuffing inusualmente coordinada. En lugar del ruido disperso habitual —miles de IPs distintas probando combinaciones genéricas—, observamos un patrón diferente: 53 IPs únicas con comportamiento homogéneo, diccionarios centrados en terminología de infraestructura blockchain, y una segunda fase de reconocimiento de hardware GPU en todas las sesiones que superaban la autenticación.
El 99,5% de las conexiones usaron el identificador de cliente SSH-2.0-Go. Esto indica que la campaña opera con un scanner o bot personalizado escrito en Go, no con clientes SSH estándar. Solo 359 conexiones usaron clientes legítimos (paramiko, PuTTY, libssh2).
El diccionario: credenciales orientadas a Solana
El hallazgo más llamativo es la distribución de credenciales. Los nombres de usuario más frecuentes no son los habituales admin o pi: son términos específicos del ecosistema Solana.
| Posición | Username | Intentos | Contexto |
|---|---|---|---|
| 1 | root | 4.447 | Genérico |
| 2 | sol | 3.530 | Abreviatura Solana / usuario común en nodos |
| 3 | solana | 2.995 | Nombre directo del protocolo |
| 4 | ubuntu | 1.654 | Sistema operativo base común |
| 5 | solv | 1.538 | Solv Protocol — nodo de staking Solana |
| 6 | trader | 633 | Rol típico en infraestructura DeFi |
| 7 | firedancer | 287 | Cliente validador Solana de Jump Crypto |
| 8 | validator | 275 | Rol estándar de nodo Solana |
Las contraseñas más probadas reflejan la misma lógica: combinaciones numéricas básicas mezcladas con términos del ecosistema.
| Posición | Password | Intentos |
|---|---|---|
| 1 | 123456 | 1.711 |
| 2 | 123 | 1.036 |
| 3 | 12345678 | 977 |
| 4 | solana | 927 |
| 5 | sol | 844 |
| 6 | 1234 | 756 |
| 7 | node | 557 |
| 8 | firedancer | 502 |
| 9 | solv | 433 |
| 10 | ethereum | 275 |
Segunda fase: reconocimiento de GPU
En todas las sesiones que superaron la autenticación, el atacante ejecutó una secuencia de reconocimiento de hardware idéntica antes de cualquier otra acción. El objetivo: detectar si la máquina tiene GPU, lo que indicaría un nodo de staking o un servidor de criptominería de alto valor.
Esta secuencia se ejecutó en 10.701 sesiones — prácticamente todas las que superaron la fase de autenticación. La uniformidad de la secuencia confirma que se trata de un script automatizado, no de un operador humano.
Técnica de evasión: /bin/./uname
Un detalle técnico relevante: en lugar de ejecutar uname directamente, el script usa la variante /bin/./uname. Este path traversal trivial (./ en medio de una ruta absoluta es ignorado por el kernel) puede evadir reglas de detección simples basadas en coincidencia exacta de strings, que buscan uname pero no la variante con el punto.
2.180 ejecuciones de /bin/./uname en lugar de uname. Es el mismo binario — el resultado es idéntico — pero la representación string difiere, lo que puede eludir firmas de IDS simples.
Estructura de la campaña: 53 IPs coordinadas
La distribución de intentos por IP revela una estructura de botnet o infraestructura distribuida con reparto de carga:
| IP atacante | Intentos | Credenciales únicas |
|---|---|---|
| 45.148.[REDACTED].183 | 5.173 | 51 |
| 2.57.[REDACTED].177 | 4.403 | 37 |
| 45.148.[REDACTED].240 | 3.402 | 101 |
| 83.168.[REDACTED].99 | 1.524 | 379 |
| 91.92.[REDACTED].61 | 1.522 | 761 |
| 192.109.[REDACTED].78 | 1.520 | — |
| 92.118.[REDACTED].62 | 1.407 | — |
| 195.178.[REDACTED].30 | 1.365 | — |
Las tres IPs con mayor volumen de intentos usan diccionarios pequeños y repetitivos (51–101 credenciales únicas), mientras que las IPs con menos intentos usan diccionarios más amplios. Esto sugiere una división de tareas dentro de la campaña: algunos nodos prueban las credenciales más comunes a alta velocidad, otros hacen un barrido más amplio.
Intentos de descarga de payload
Durante el periodo de observación, se registraron cuatro intentos de descarga de payload. Dos URLs distintas aparecen:
https://14.46.[REDACTED].77/sh — IP directa, sin dominio. Formato típico de C2 efímero.
http://[REDACTED].sh/x — 3 intentos. El dominio es deliberadamente obvio, posiblemente un honeypot de investigadores o un test de conectividad del atacante.
Ninguna descarga resultó en ejecución real. La ejecución fue bloqueada en todos los casos — 0 bytes ejecutados en el host real.
Conclusiones
La campaña observada tiene características específicas que la diferencian del escaneo masivo genérico:
- Objetivo definido: las credenciales apuntan a operadores de nodos Solana (validators, traders, firedancer). No es ruido aleatorio.
- Automatización profesional: cliente Go personalizado, secuencia de comandos idéntica, reparto de carga entre IPs.
- Doble objetivo probable: acceso a claves de validador (para robo de stake/NFT) y/o uso de la GPU para criptominería.
- Evasión básica: técnica
/bin/./unamemuestra conciencia de entornos de detección, aunque a nivel elemental.
Datos recopilados con fines de investigación en ciberseguridad. Toda la información procede de actividad no solicitada registrada en infraestructura propia.
honeypot CipherSentry · 119.205 líneas · 2026-06-11 a 2026-06-13