53
IPs atacantes
26.345
Credenciales probadas
26.584
Sesiones SSH
3 días
Duración observada
99,5%
SSH-2.0-Go

Contexto: qué capturó el honeypot

Entre el 11 y el 13 de junio de 2026, nuestro honeypot SSH registró una campaña de credential stuffing inusualmente coordinada. En lugar del ruido disperso habitual —miles de IPs distintas probando combinaciones genéricas—, observamos un patrón diferente: 53 IPs únicas con comportamiento homogéneo, diccionarios centrados en terminología de infraestructura blockchain, y una segunda fase de reconocimiento de hardware GPU en todas las sesiones que superaban la autenticación.

Indicador de campaña automatizada

El 99,5% de las conexiones usaron el identificador de cliente SSH-2.0-Go. Esto indica que la campaña opera con un scanner o bot personalizado escrito en Go, no con clientes SSH estándar. Solo 359 conexiones usaron clientes legítimos (paramiko, PuTTY, libssh2).

El diccionario: credenciales orientadas a Solana

El hallazgo más llamativo es la distribución de credenciales. Los nombres de usuario más frecuentes no son los habituales admin o pi: son términos específicos del ecosistema Solana.

PosiciónUsernameIntentosContexto
1root4.447Genérico
2sol3.530Abreviatura Solana / usuario común en nodos
3solana2.995Nombre directo del protocolo
4ubuntu1.654Sistema operativo base común
5solv1.538Solv Protocol — nodo de staking Solana
6trader633Rol típico en infraestructura DeFi
7firedancer287Cliente validador Solana de Jump Crypto
8validator275Rol estándar de nodo Solana

Las contraseñas más probadas reflejan la misma lógica: combinaciones numéricas básicas mezcladas con términos del ecosistema.

PosiciónPasswordIntentos
11234561.711
21231.036
312345678977
4solana927
5sol844
61234756
7node557
8firedancer502
9solv433
10ethereum275

Segunda fase: reconocimiento de GPU

En todas las sesiones que superaron la autenticación, el atacante ejecutó una secuencia de reconocimiento de hardware idéntica antes de cualquier otra acción. El objetivo: detectar si la máquina tiene GPU, lo que indicaría un nodo de staking o un servidor de criptominería de alto valor.

root@host:~#lspci | grep VGA | cut -f5- -d ' '
root@host:~#lspci | grep VGA -c
root@host:~#nvidia-smi -q | grep "Product Name" | head -n 1 | awk '{print $4, $5, $6, $7}'
root@host:~#lspci | grep "3D controller" | cut -f5- -d ' '
root@host:~#/bin/./uname -s -v -n -r -m
root@host:~#uptime -p

Esta secuencia se ejecutó en 10.701 sesiones — prácticamente todas las que superaron la fase de autenticación. La uniformidad de la secuencia confirma que se trata de un script automatizado, no de un operador humano.

Técnica de evasión: /bin/./uname

Un detalle técnico relevante: en lugar de ejecutar uname directamente, el script usa la variante /bin/./uname. Este path traversal trivial (./ en medio de una ruta absoluta es ignorado por el kernel) puede evadir reglas de detección simples basadas en coincidencia exacta de strings, que buscan uname pero no la variante con el punto.

Evasión observada

2.180 ejecuciones de /bin/./uname en lugar de uname. Es el mismo binario — el resultado es idéntico — pero la representación string difiere, lo que puede eludir firmas de IDS simples.

Estructura de la campaña: 53 IPs coordinadas

La distribución de intentos por IP revela una estructura de botnet o infraestructura distribuida con reparto de carga:

IP atacanteIntentosCredenciales únicas
45.148.[REDACTED].1835.17351
2.57.[REDACTED].1774.40337
45.148.[REDACTED].2403.402101
83.168.[REDACTED].991.524379
91.92.[REDACTED].611.522761
192.109.[REDACTED].781.520
92.118.[REDACTED].621.407
195.178.[REDACTED].301.365

Las tres IPs con mayor volumen de intentos usan diccionarios pequeños y repetitivos (51–101 credenciales únicas), mientras que las IPs con menos intentos usan diccionarios más amplios. Esto sugiere una división de tareas dentro de la campaña: algunos nodos prueban las credenciales más comunes a alta velocidad, otros hacen un barrido más amplio.

Intentos de descarga de payload

Durante el periodo de observación, se registraron cuatro intentos de descarga de payload. Dos URLs distintas aparecen:

Dropper URLs observadas

https://14.46.[REDACTED].77/sh — IP directa, sin dominio. Formato típico de C2 efímero.

http://[REDACTED].sh/x — 3 intentos. El dominio es deliberadamente obvio, posiblemente un honeypot de investigadores o un test de conectividad del atacante.

Ninguna descarga resultó en ejecución real. La ejecución fue bloqueada en todos los casos — 0 bytes ejecutados en el host real.

Conclusiones

La campaña observada tiene características específicas que la diferencian del escaneo masivo genérico:

Nota metodológica: Este análisis se basa exclusivamente en los datos registrados por nuestro honeypot en producción durante 3 días. La atribución a un actor específico o grupo concreto requeriría correlación con inteligencia adicional fuera del alcance de este análisis.

Datos recopilados con fines de investigación en ciberseguridad. Toda la información procede de actividad no solicitada registrada en infraestructura propia.

Fuente de datos
honeypot CipherSentry · 119.205 líneas · 2026-06-11 a 2026-06-13
← Todos los artículos