Des cybercriminels ont pris le contrôle de dizaines de milliers de serveurs mal sécurisés à travers le monde pour créer un vaste botnet visant le vol de cryptomonnaies. C’est ce qu’indique une nouvelle étude du spécialiste en cybersécurité Check Point. Les attaques exploitent des mots de passe faibles et des serveurs insuffisamment protégés, directement reliés à Internet.
Selon les chercheurs, plus de 50 000 serveurs sont actuellement vulnérables. Ces systèmes sont utilisés pour accéder à des infrastructures liées aux cryptomonnaies et vider finalement les portefeuilles numériques.
Attaques via le malware GoBruteforcer
Les attaques sont menées à l’aide d’un logiciel malveillant appelé GoBruteforcer. Ce programme tente de se connecter automatiquement aux serveurs en testant des noms d’utilisateur et des mots de passe courants. Une fois l’accès obtenu, les attaquants disposent d’un contrôle total sur le système.
Le malware cible principalement les serveurs Linux exécutant des services largement utilisés tels que FTP, MySQL, PostgreSQL et phpMyAdmin. Ces systèmes, souvent utilisés pour des sites web et des bases de données, sont régulièrement insuffisamment sécurisés.
Un serveur infecté devient partie intégrante du botnet et peut ensuite être utilisé pour attaquer d’autres serveurs vulnérables. Les attaquants peuvent également voler des données, créer des comptes supplémentaires ou vendre l’accès au serveur.
Des millions de serveurs accessibles au public
L’une des causes majeures de ces attaques à grande échelle est le nombre important de serveurs ouverts au trafic Internet. À l’échelle mondiale, on estime que des millions de serveurs FTP et de bases de données sont directement accessibles via des ports standard, souvent sans sécurité renforcée.
GoBruteforcer a été observé pour la première fois en 2023, mais les chercheurs ont découvert une variante plus avancée à la mi-2025. Cette version est plus difficile à détecter et reste active plus longtemps sur les systèmes infectés.
Mots de passe faibles et configurations générées par IA
De nombreuses attaques réussissent en raison d’erreurs de sécurité basiques. Les pirates utilisent des noms d’utilisateur standards comme appuser et myuser, combinés à des mots de passe faibles tels que admin123456. Ces combinaisons proviennent souvent directement de manuels en ligne et de guides d’installation.
Check Point souligne également que les manuels de configuration générés par IA contribuent au problème. Ceux-ci reprennent les mêmes réglages d’exemple, entraînant une utilisation à grande échelle d’identifiants de connexion faibles identiques.
En outre, les attaquants ciblent délibérément des comptes avec des noms liés aux crypto, tels que cryptouser et crypto_app, espérant trouver des serveurs associés aux monnaies numériques.
Ciblage des portefeuilles crypto avec solde
Les chercheurs ont découvert que certains serveurs infectés étaient utilisés pour scanner des adresses blockchain afin de détecter des soldes. Des milliers de portefeuilles TRON ont notamment été contrôlés. Sur les systèmes découverts, des outils permettaient de siphonner automatiquement les cryptomonnaies dès qu’un portefeuille contenait des fonds.
L’analyse des transactions sur la blockchain indique qu’une partie de ces attaques a réussi. Cela confirme que les projets crypto et les infrastructures blockchain sont des cibles intentionnelles des campagnes d’attaque.
Les logiciels obsolètes restent un risque permanent
Selon Check Point, cette vague d’attaques résulte d’un problème structurel. De nombreuses organisations continuent d’utiliser des logiciels et des serveurs obsolètes, insuffisamment protégés. Les environnements web anciens, avec des panneaux d’administration et accès FTP ouverts, sont particulièrement attractifs pour les attaquants.
Les chercheurs avertissent que même des logiciels malveillants relativement simples peuvent causer des dégâts importants tant que des systèmes mal sécurisés restent en ligne. Fin 2025, il a été établi que certains serveurs infectés étaient également utilisés par une autre famille de malwares, augmentant encore le risque.
Les résultats soulignent l’importance de mots de passe robustes, de la fermeture des accès Internet inutiles et de la mise à jour des logiciels serveurs.
L’IA aide les hackers à exploiter d’anciens smart contracts, alertent les experts
Les projets blockchain ne doivent pas seulement faire auditer leurs smart contracts avant leur lancement, mais aussi les soumettre régulièrement à de nouveaux contrôles par la suite.
Des pirates exploitent un logiciel de confiance pour vider des portefeuilles crypto
Un progiciel très utilisé par les développeurs de la blockchain Injective a été touché par une attaque dite de la chaîne d’approvisionnement.
Le portefeuille d’un jeune de 20 ans au cœur d’une affaire de blanchiment de 122 millions de dollars
Interpol a intercepté 293 millions de dollars et procédé à 5 811 arrestations. Un seul portefeuille appartenant à un jeune d’une vingtaine d’années a fait transiter 122,5 millions de dollars.
Le plus lu
L’erreur qui coûte le plus cher aux investisseurs — et comment l’éviter
Un prix Nobel l’a montré avec une simple tasse à café : le fait de posséder un bien peut en doubler la valeur perçue. Ce même biais pousse les investisseurs à conserver des positions sans avenir.
Le XRP Ledger traite près d’un million de transactions liées à l’IA et renforce sa place dans l’économie émergente de l’intelligence artificielle
Le XRP Ledger poursuit sa mutation : d’une blockchain dédiée aux paiements internationaux, il devient un réseau important pour l’économie émergente de l’intelligence artificielle.
Le plus grand transfert de patrimoine de l’histoire : 60 000 milliards de dollars pour les jeunes investisseurs
Wall Street s’inquiète de l’arrivée d’une nouvelle génération qui disposera bientôt de dizaines de milliers de milliards de dollars. Voici ce qu’il faut savoir.