La anatomía del GPU hunter
Antes de instalar cualquier minero, el atacante necesita saber si la inversión vale la pena. Un servidor sin GPU mina monero a una fracción del hashrate de uno con GPU. El primer objetivo, por tanto, es el reconocimiento de hardware — y hacerlo sin levantar alertas.
La secuencia que observamos en 18.276 sesiones es idéntica en todas ellas — la firma de un script automatizado:
Técnica de evasión: path traversal en uname
El uso de /bin/./uname en lugar de uname es un detalle técnico con propósito claro. El punto (.) en medio de una ruta absoluta es un elemento de directorio que referencia el directorio actual — en este contexto, es ignorado por el kernel. El resultado es exactamente el mismo que uname.
El valor está en la firma string: una regla de detección que busca el literal uname en los logs de comandos podría no capturar /bin/./uname si la implementación no normaliza paths antes de comparar.
2.555 ejecuciones de /bin/./uname versus 33.548 de uname directo. La técnica se usa en sesiones específicas — no es universal en la campaña, lo que sugiere herramientas distintas o configuraciones diferentes del mismo scanner.
El vínculo con credenciales crypto
La campaña GPU hunter y el diccionario de credenciales orientado a Solana no son coincidencia. Los operadores de nodos Solana frecuentemente usan servidores con GPU para acelerar operaciones de validación. Un servidor comprometido de un validator Solana ofrece doble valor:
- GPU para minería: hashrate inmediato para XMRig u otros mineros
- Acceso a claves de validador: potencial robo de stake o comisiones de validación
- Acceso a fondos hot-wallet: traders y validators frecuentemente tienen wallets conectados al servidor
El intento de payload
En seis ocasiones durante el periodo de observación, las sesiones intentaron descargar un script externo, repartidas en tres destinos distintos. Ninguno llegó a ejecutarse:
URLs defangeadas (hxxp). Artefactos forenses — no acceder ni reconstruir.
http://151.242.[REDACTED].40/loader.sh — IP directa sin resolución DNS. 684 bytes capturados en el entorno aislado del honeypot; la ejecución fue bloqueada.
http://197.255.[REDACTED].88:1987/favico.ico — puerto alto y nombre señuelo (un favicon falso). Exactamente 684 bytes, el mismo tamaño que el anterior: el mismo payload servido desde un segundo host.
http://31.172.[REDACTED].45/mot — 2 intentos, 0 bytes recibidos. La descarga falló o fue bloqueada en origen.
Cómo detectar GPU hunters en tu infraestructura
Las señales de detección son claras y poco costosas de implementar:
- Alerta sobre
nvidia-smiolspcien logs SSH: ningún script legítimo de mantenimiento necesita ejecutar estos comandos vía SSH inmediatamente al autenticarse. - Detecta el cliente
SSH-2.0-Go: si tu infraestructura no tiene aplicaciones internas escritas en Go que se conecten por SSH, cualquier conexión con ese fingerprint es sospechosa. - Monitoriza descargas con
wgetocurla IPs directas: URLs del tipohxxp://1[.]2[.]3[.]4/shson distribuidores de payload, no tráfico legítimo. - Bloquea IPs con múltiples intentos de credenciales fallidos: fail2ban con umbral de 5-10 intentos por IP en 60 segundos cubre la mayoría de estos escaneos.
Datos recopilados con fines de investigación en ciberseguridad. Toda la información procede de actividad no solicitada registrada en infraestructura propia.
honeypot CipherSentry · 2026-06-26 a 2026-06-28