11
Comandos
5
Formas de instalar neofetch
368 KB
Binario descargado
Crítica
Amenaza
268.155 SESIONES CAPTURADAS 1.169 IPS ÚNICAS 368 KB BINARIO CAPTURADO EN ESTA SESIÓN
Vista ilustrativa del panel de CipherSentry · cifras del corpus histórico completo del honeypot (acumulado a la fecha del artículo; el contador en vivo de la portada refleja el tráfico reciente).

No era un bot: era una persona

La pista está en el cliente SSH. La mayoría de ataques que vemos llegan de bibliotecas automatizadas que se anuncian solas. Esta sesión llegó desde Bitvise SSH Client (Tunnelier) 9.61 — un cliente gráfico de Windows. Detrás del teclado había alguien.

Entró como root con la contraseña admin123. Una credencial débil, probada a mano, que funcionó contra el cebo. Y lo que hizo después no se parece en nada a un script: se parece a una persona curioseando.

Primero, el reconocimiento

El primer comando fue una ráfaga de reconocimiento del sistema en una sola línea — quién soy, qué CPU, cuánta RAM, cuánto disco, cuánto lleva encendida:

#uname -a && cat /etc/os-release && lscpu | grep "Model name" && free -h && df -h && uptime

Hasta aquí, normal. El reconocimiento es el primer paso de casi cualquier intrusión. Lo interesante es lo que vino después: en vez de instalar un minero, un bot o una puerta trasera, nuestro visitante quiso una cosa mucho más vanidosa.

Cinco intentos de instalar neofetch

neofetch es una herramienta que dibuja el logo del sistema y sus specs en colores — la captura típica de "mira mi máquina". Y esta persona estaba decidida a ejecutarla. Cuando un método fallaba en el entorno aislado, probaba otro:

# 1 — el gestor de paquetes
#apt update && apt install neofetch -y
# 2 — descargar y ejecutar de un tirón
#curl -Ls hxxps://raw[.]githubusercontent[.]com/dylanaraps/neofetch/master/neofetch | bash
# 3 — bajarlo, darle permisos y correrlo
#wget hxxps://raw[.]githubusercontent[.]com/dylanaraps/neofetch/master/neofetch
#chmod +x neofetch && ./neofetch
# 4 — vía snap
#snap install neofetch && neofetch
# 5 — al final, rendirse y probar la alternativa
#apt install screenfetch -y && screenfetch

Cinco rutas para el mismo objetivo trivial. Eso no lo hace un bot — un bot ejecuta su receta y se va. Esto es alguien troubleshooteando en directo, frustrándose con un sistema que no le devolvía lo que esperaba.

Por qué lo marcamos como crítico igualmente

El segundo intento es la razón. curl ... | bash descarga un script de una URL y lo ejecuta directamente, sin pasar por el disco ni por revisión. El honeypot capturó el contenido real: un shell script de 368 KB. Resultó ser el neofetch legítimo. Pero eso no lo sabíamos hasta capturarlo — y ahí está el punto.

La lección de curl | bash

El patrón es peligroso por diseño, no por el payload concreto. Quien controla esa URL decide qué se ejecuta en tu máquina, hoy y mañana. Hoy era neofetch; un cambio en el servidor remoto y mañana es otra cosa. Por eso se marca crítico con independencia de lo que devuelva: el riesgo es el mecanismo, no el fichero.

El rastro: de dónde vino

La conexión salió de infraestructura en Estambul (ArvanCloud, AS57568), a las 18:39 hora local — las 15:39 UTC. Una tarde: horario plausible de una persona, no de un cron. Matiz importante, sin adornos: eso es el origen de la infraestructura, no necesariamente dónde está quien teclea. ArvanCloud es hosting/CDN y bien puede ser un salto intermedio.

NL Países Bajos · 65% EE. UU. BG Estambul · la persona Tráfico automatizado (bots) La persona de esta sesión
De dónde llega el tráfico al honeypot · top orígenes por nº de sesiones · cifras reales del honeypot.

El cruce más revelador: el 65% del tráfico sale de hosting en Países Bajos — granjas de bots baratas replicando el mismo barrido una y otra vez. La persona de esta sesión no salió de ahí: vino de Estambul, fuera del foco del ruido. Dos mundos en el mismo cebo.

IOC — binario capturado

sha256: 2a272bbaa1275f21835fd3258fb8032ccdc98348e6ccb9cf58acacd366340170

shell script · 368 KB · neofetch (MIT, legítimo). El hash completo deja verificar que lo descargado fue el neofetch real y no un impostor con el mismo nombre. Es lo que separa "parecía inofensivo" de "lo comprobamos".

Y aquí el número que pone esto en contexto: las sesiones que llegan con un cliente de escritorio (Bitvise, PuTTY) son 1.409 de 268.155 — apenas el 0,5% del tráfico. La inmensa mayoría son bibliotecas headless repitiendo una receta. Esta tenía a alguien decidiendo en directo.

Y un cruce que pone a neofetch en su sitio: en las 268.155 sesiones del corpus, el comando nº1 es uname (106.796 veces), y el podio lo copa el reconocimiento de hardware — grep, lspci, nvidia-smi. Esta persona solo quería la versión bonita de lo que hace casi todo el mundo nada más entrar: averiguar qué máquina ha pillado. La diferencia es que ella lo intentó cinco veces, a mano.

Humano vs bot: por qué importa la diferencia

Separar las sesiones humanas de las automatizadas cambia cómo priorizas. Tres señales que delataron a esta persona:

Un atacante humano cambia el cálculo de riesgo: improvisa, prueba lo que no esperabas, y a veces vuelve. Tratar todas las intrusiones como ruido automatizado hace que se te escapen justo las que tienen una persona detrás.

Qué hacer

Lo valioso de esta sesión no es neofetch. Es el recordatorio de que, debajo de las cifras, hay personas tomando decisiones en tiempo real. Durante años hemos tratado las intrusiones como ruido automatizado. Un cebo bien puesto es donde por fin ves al adversario — no su log, a él.

¿Quién entra en tus máquinas — y qué hace dentro?

CipherSentry despliega un cebo SSH que captura cada comando y cada descarga reales, los aísla y te los muestra en un panel. Vimos a esta persona instalar neofetch cinco veces; tú verás a quien llame a tu puerta.

Ver cómo funciona →

Datos recopilados con fines de investigación en ciberseguridad. Toda la información procede de actividad no solicitada registrada en infraestructura propia. IP y URLs ofuscadas ([.], hxxp) para evitar clics accidentales.

Fuente de datos
honeypot CipherSentry · sesión 9d00286f · IP 194.5.[REDACTED].238 · 2026-06-17 · contexto: 268.155 sesiones / 1.169 IPs
← Todos los artículos