18.276
Sesiones GPU hunter
10.915
Intentos con "sol"
2.555
Evasiones /bin/./uname
3
Payload URLs

La anatomía del GPU hunter

Antes de instalar cualquier minero, el atacante necesita saber si la inversión vale la pena. Un servidor sin GPU mina monero a una fracción del hashrate de uno con GPU. El primer objetivo, por tanto, es el reconocimiento de hardware — y hacerlo sin levantar alertas.

La secuencia que observamos en 18.276 sesiones es idéntica en todas ellas — la firma de un script automatizado:

# Fase 1: ¿hay GPU PCI conectada?
$lspci | grep VGA | cut -f5- -d ' '
$lspci | grep VGA -c
$lspci | grep "3D controller" | cut -f5- -d ' '
# Fase 2: ¿es NVIDIA? ¿cuánta VRAM?
$nvidia-smi -q | grep "Product Name" | head -n 1 | awk '{print $4, $5, $6, $7, $8}'
# Fase 3: fingerprint del SO (con evasión)
$/bin/./uname -s -v -n -r -m
$uptime -p
$nproc

Técnica de evasión: path traversal en uname

El uso de /bin/./uname en lugar de uname es un detalle técnico con propósito claro. El punto (.) en medio de una ruta absoluta es un elemento de directorio que referencia el directorio actual — en este contexto, es ignorado por el kernel. El resultado es exactamente el mismo que uname.

El valor está en la firma string: una regla de detección que busca el literal uname en los logs de comandos podría no capturar /bin/./uname si la implementación no normaliza paths antes de comparar.

Frecuencia observada

2.555 ejecuciones de /bin/./uname versus 33.548 de uname directo. La técnica se usa en sesiones específicas — no es universal en la campaña, lo que sugiere herramientas distintas o configuraciones diferentes del mismo scanner.

El vínculo con credenciales crypto

La campaña GPU hunter y el diccionario de credenciales orientado a Solana no son coincidencia. Los operadores de nodos Solana frecuentemente usan servidores con GPU para acelerar operaciones de validación. Un servidor comprometido de un validator Solana ofrece doble valor:

El intento de payload

En seis ocasiones durante el periodo de observación, las sesiones intentaron descargar un script externo, repartidas en tres destinos distintos. Ninguno llegó a ejecutarse:

Payload URLs capturadas

URLs defangeadas (hxxp). Artefactos forenses — no acceder ni reconstruir.

http://151.242.[REDACTED].40/loader.sh — IP directa sin resolución DNS. 684 bytes capturados en el entorno aislado del honeypot; la ejecución fue bloqueada.

http://197.255.[REDACTED].88:1987/favico.ico — puerto alto y nombre señuelo (un favicon falso). Exactamente 684 bytes, el mismo tamaño que el anterior: el mismo payload servido desde un segundo host.

http://31.172.[REDACTED].45/mot — 2 intentos, 0 bytes recibidos. La descarga falló o fue bloqueada en origen.

Cómo detectar GPU hunters en tu infraestructura

Las señales de detección son claras y poco costosas de implementar:

Datos recopilados con fines de investigación en ciberseguridad. Toda la información procede de actividad no solicitada registrada en infraestructura propia.

Fuente de datos
honeypot CipherSentry · 2026-06-26 a 2026-06-28
← Todos los artículos