419.982
Sesiones · 1 campaña
74%
Del tráfico de la semana
71
IPs · 35 redes /24
12 → 1
Familias reunidas

Doce huellas, un mismo teclado

Cada sesión deja una huella de comportamiento: los comandos que teclea el atacante, resumidos en una firma difusa (ssdeep). No es la IP; es la conducta. Firmas parecidas se agrupan por similitud, así las variantes de un mismo guion no se dispersan.

La ventaja es simple: una IP se cambia en un segundo, pero el guion que teclea el atacante es su costumbre. Firmar la costumbre —no la dirección— es lo que permite reconocer al mismo actor cuando vuelve con otra cara.

Durante unos cuatro días, esa agrupación devolvió doce familias de conducta. Todas hacían lo mismo: reconocimiento de hardware.

El guion de reconocimiento

uname -s -v -n -r -m · nproc · lspci | grep VGA · nvidia-smi · lscpu · uptime · curl ipinfo.io/org

Perfilan CPU y GPU en segundos, sin abrir una sesión de trabajo real. Es el sondeo típico de quien busca máquinas potentes para minar criptomoneda — no el de un administrador.

Doce familias, doce variantes del mismo guion. Un carácter cambiado, dos comandos en otro orden: suficiente para que cada variante tenga su propia firma. Suficiente para parecer doce campañas.

El bloque negro

El comportamiento las separó en doce. Las IPs las vuelven a juntar.

Para cada familia tomamos su conjunto de direcciones y lo comparamos con el de las demás: ¿cuántas IPs comparten? El resultado se lee de un vistazo.

112233445566778899101011111212
Solape de IPs entre familias. Cada casilla: fracción de direcciones compartidas. Toda la matriz es oscura; el bloque de reconocimiento, casi negro.

Casi todo negro. De las 71 direcciones, 38 aparecen en las doce familias a la vez. No hay doce grupos de atacantes: hay una sola mano, ejecutando doce conductas desde las mismas máquinas.

El detalle lo confirma. Ninguna pareja de familias comparte menos del 58% de sus direcciones, y el núcleo de reconocimiento —ocho de las doce familias— roza el cien por cien: son el mismo guion con un comando de más o de menos. No es coincidencia; es reparto de trabajo dentro de una sola operación.

La conducta dice el qué; la IP dice el quién. Cada una por su lado es ruido: mil comandos parecidos, mil direcciones sueltas. Cruzadas, dibujan una sola mano.

Infraestructura de usar y tirar

¿De dónde sale? Cada dirección se resuelve a su red (número de sistema autónomo, ASN) y su país. El núcleo no es un proveedor cualquiera.

IP (muestra)Red (ASN)PaísFamilias
91.92.[REDACTED].90AS197170BG12/12
141.11.[REDACTED].242AS198364FR12/12
91.92.[REDACTED].147AS197170BG12/12
91.92.[REDACTED].172AS197170BG12/12
45.153.[REDACTED].186AS197170DE12/12

Son apenas un puñado de redes /24, casi todas VPS de alta rotación — con Bulgaria, Alemania y Países Bajos a la cabeza. Y es una ráfaga: arranca despacio, revienta con 127.256 sesiones en un solo día y cae.

Ese hosting barato, de alta rotación, es la fontanería habitual de las botnets de minería: el atacante no es esas IPs, las alquila. Por eso el pico y la caída son tan limpios — cuando la campaña termina, la infraestructura se apaga sin más.

Qué hacer con esto

Bloquear por IP aquí es perder el tiempo: rotan infraestructura y una lista de IPs dura horas. Lo que sobrevive a la rotación es la conducta.

# Regla de detección — por conducta, no por IP:
agrupa las sesiones por su guion de comandos (firma difusa)
si una misma conducta llega desde decenas de IPs → es una campaña, no ruido
# Filtro corto: bloquea el ASN completo si no esperas VPS de alta rotación.

Una IP es una máscara desechable. La conducta es la cara. Bloquea la máscara y el atacante vuelve mañana con otra; aprende a reconocer la cara y lo verás llegar — disfrazado de doce campañas distintas.

¿Cuántas caras tiene quien ataca tus máquinas?

Este análisis salió de un cebo SSH que captura cada comando real, agrupa las conductas y muestra al actor detrás de sus IPs — con la infraestructura del atacante ya difuminada. Lo mismo, pero mirando tu propia red.

Míralo en tu propia red →

Datos recopilados con fines de investigación en ciberseguridad. Toda la información procede de actividad no solicitada registrada en infraestructura propia.

Fuente de datos
honeypot CipherSentry · ventana de 7 días · julio 2026
← Todos los artículos