Cifras globales del periodo
Tipos de eventos registrados
| Tipo de evento | Cantidad | Descripción |
|---|---|---|
| connection | 30.211 | Intentos de autenticación SSH |
| command | 22.647 | Comandos ejecutados en sesiones interactivas |
| credential_probe / probe | — | Sondeos sin credenciales completas |
Clientes SSH: automatización masiva
| Cliente SSH | Conexiones | % del total |
|---|---|---|
| SSH-2.0-Go (escáner principal) | 27.942 | 99,5% |
| PuTTY | 44 | 0,16% |
| OpenSSH | 10 | 0,04% |
| libssh | 10 | 0,04% |
| Otros | 71 | 0,25% |
Comandos más frecuentes
La distribución de comandos revela el objetivo principal de la campaña dominante: reconocimiento de hardware GPU.
| # | Comando | Ejecuciones | % del total |
|---|---|---|---|
| 1 | lspci | 7.065 | 31,2% |
| 2 | uname | 6.954 | 30,7% |
| 3 | nvidia-smi | 4.480 | 19,8% |
| 4 | uptime | 2.356 | 10,4% |
| 5 | echo | 967 | 4,3% |
Sesiones sin comandos: solo autenticación
5.465 sesiones (19,4% del total) no ejecutaron ningún comando — solo se autenticaron y desconectaron. Son sesiones de validación de credenciales: el scanner prueba el par usuario/contraseña y, si falla, pasa al siguiente. Si tiene éxito, guarda las credenciales válidas para una segunda fase de explotación.
Payloads e intentos de descarga
https://14.46.[REDACTED].77/sh — 1 intento + 1 descarga (0 bytes ejecutados)
http://[REDACTED].sh/x — 3 intentos + 3 descargas (0 bytes ejecutados)
Todos los intentos de ejecución fueron bloqueados — el payload nunca se ejecutó en el host real.
Sesiones con intento de escalada de privilegios
104 sesiones
(0,4% del total)
ejecutaron el comando passwd — intentos de cambiar la contraseña de root para establecer persistencia sin instalar ningún binario.
Conclusión
Nuestro honeypot captura una imagen clara de la amenaza activa en internet: una campaña automatizada bien organizada, orientada a infraestructura blockchain, operando con herramientas Go propias y diccionarios especializados. Las 151 IPs registradas no son independientes — son nodos de una misma operación con reparto de tareas.
Lo que diferencia este análisis de las estadísticas genéricas de "ataques SSH": la granularidad. No solo sabemos cuántos ataques hubo — sabemos qué credenciales probaron, qué comandos ejecutaron, qué hardware buscaban y cómo intentaron borrar sus huellas.
Datos recopilados con fines de investigación en ciberseguridad. Toda la información procede de actividad no solicitada registrada en infraestructura propia.
honeypot CipherSentry · periodo: 2026-06-11 — 2026-06-13