Cifras globales del periodo

28.112
Sesiones SSH
151
IPs únicas
360
Usuarios únicos probados
22.647
Comandos registrados
2026-06-11 — 2026-06-13
Periodo activo

Tipos de eventos registrados

Tipo de eventoCantidadDescripción
connection30.211Intentos de autenticación SSH
command22.647Comandos ejecutados en sesiones interactivas
credential_probe / probeSondeos sin credenciales completas

Clientes SSH: automatización masiva

Cliente SSHConexiones% del total
SSH-2.0-Go (escáner principal)27.94299,5%
PuTTY440,16%
OpenSSH100,04%
libssh100,04%
Otros710,25%

Comandos más frecuentes

La distribución de comandos revela el objetivo principal de la campaña dominante: reconocimiento de hardware GPU.

#ComandoEjecuciones% del total
1lspci7.06531,2%
2uname6.95430,7%
3nvidia-smi4.48019,8%
4uptime2.35610,4%
5echo9674,3%

Sesiones sin comandos: solo autenticación

Sesiones de puro credential stuffing

5.465 sesiones (19,4% del total) no ejecutaron ningún comando — solo se autenticaron y desconectaron. Son sesiones de validación de credenciales: el scanner prueba el par usuario/contraseña y, si falla, pasa al siguiente. Si tiene éxito, guarda las credenciales válidas para una segunda fase de explotación.

Payloads e intentos de descarga

URLs de payload observadas

https://14.46.[REDACTED].77/sh — 1 intento + 1 descarga (0 bytes ejecutados)

http://[REDACTED].sh/x — 3 intentos + 3 descargas (0 bytes ejecutados)

Todos los intentos de ejecución fueron bloqueados — el payload nunca se ejecutó en el host real.

Sesiones con intento de escalada de privilegios

Intentos de cambio de contraseña

104 sesiones (0,4% del total) ejecutaron el comando passwd — intentos de cambiar la contraseña de root para establecer persistencia sin instalar ningún binario.

Conclusión

Nuestro honeypot captura una imagen clara de la amenaza activa en internet: una campaña automatizada bien organizada, orientada a infraestructura blockchain, operando con herramientas Go propias y diccionarios especializados. Las 151 IPs registradas no son independientes — son nodos de una misma operación con reparto de tareas.

Lo que diferencia este análisis de las estadísticas genéricas de "ataques SSH": la granularidad. No solo sabemos cuántos ataques hubo — sabemos qué credenciales probaron, qué comandos ejecutaron, qué hardware buscaban y cómo intentaron borrar sus huellas.

Datos recopilados con fines de investigación en ciberseguridad. Toda la información procede de actividad no solicitada registrada en infraestructura propia.

Fuente de datos · snapshot histórico
honeypot CipherSentry · periodo: 2026-06-11 — 2026-06-13
← Todos los artículos