Netcrook Logo
👤 TRUSTBREAKER
🗓️ 14 Apr 2026   🌍 Asia

Desbloqueado y sin máscara: Cómo un operador descuidado de botnet expuso toda su red de ataques en Twitter/X

Una botnet de credential stuffing dirigida a Twitter/X dejó sus puertas completamente abiertas, filtrando contraseñas root, paneles en vivo y la propia infraestructura de los hackers al mundo.

En el mundo sombrío del cibercrimen, el secreto operacional es la ley suprema. Pero, en un giro digno de una comedia digital de errores, un grupo de hackers con base en Turquía logró sabotear su propia operación de credential stuffing, no por redadas policiales ni ataques rivales, sino por olvidar cerrar la puerta principal. El resultado: una extensa y activa botnet de ataques a Twitter/X quedó al descubierto, con contraseñas root, controles de servidores y estadísticas en tiempo real, todo a un clic de navegador.

La botnet que se hackeó a sí misma

Investigadores de GHOST se toparon con el centro de comando y control (C2) de una operación de credential stuffing dirigida a Twitter/X, alojada en un servidor Windows de Hetzner en Alemania. El panel, titulado “Twitter Checker Master Panel – FULL FIX v2.3”, era una aplicación Flask de una sola página que transmitía estadísticas de ataques en vivo. ¿El detalle? Sin login, sin clave API, sin verificación de sesión: cualquiera podía entrar y tomar el control.

Cada función, desde lanzar nuevos ataques hasta subir credenciales robadas y reiniciar nodos trabajadores, estaba mapeada a simples endpoints REST API, todos sin autenticación. Lo más comprometedor: una llamada a /api/servers volcaba una lista de todas las IPs de los trabajadores y sus contraseñas root SSH en texto plano. Con 18 servidores Linux etiquetados como “Sunucu” (turco para “servidor”), la infraestructura apuntaba directamente a un operador de habla turca usando una empresa de hosting local en Ankara.

Durante una breve observación, se probaron más de 722,000 credenciales de Twitter/X en 12 minutos, con solo 18 resultados positivos. A lo largo de la vida de la botnet, se revisaron 4.8 millones de cuentas, pero solo 138 fueron completamente comprometidas: una tasa de éxito mínima, pero aún peligrosa a gran escala. ¿El verdadero héroe? La autenticación de dos factores, que bloqueó en seco más del 85% de los intentos.

La torpeza técnica del operador iba más allá de la falta de autenticación. Todas las contraseñas root seguían el mismo patrón: una cadena hexadecimal en minúsculas más “kmt.!”, lo que sugiere construcciones automatizadas y una falta de higiene básica de seguridad. A pesar de operar durante meses, toda la infraestructura permaneció invisible para los principales feeds de amenazas y listas negras, probablemente por el uso de servidores en la nube genéricos y rangos de IP aparentemente inocuos.

Para los defensores, la lección es tan clara como el panel abierto de la botnet: activa el 2FA, monitorea intentos de inicio de sesión de alto volumen y nunca subestimes el poder de la higiene cibernética básica, incluso entre criminales.

Conclusión

En un mundo digital obsesionado con el secreto, el mayor adversario de esta botnet fue la propia negligencia de su operador. Al dejar su infraestructura expuesta, los atacantes no solo pusieron en riesgo su campaña, sino que entregaron a los defensores una rara y sin filtrar visión de la mecánica del credential stuffing a gran escala. A veces, la mejor defensa es simplemente cerrar tu propia puerta, algo que estos hackers olvidaron en su prisa por atacar a otros.

WIKICROOK

  • Credencial: Una credencial es información como un nombre de usuario o contraseña utilizada para confirmar tu identidad al acceder a cuentas en línea o sistemas seguros.
  • Comando: Un comando es una instrucción enviada a un dispositivo o software, a menudo por un servidor C2, indicándole realizar acciones específicas, a veces con fines maliciosos.
  • Endpoint REST: Un endpoint REST es una dirección web que permite que diferentes sistemas de software intercambien datos. Si no está asegurado, puede ser objetivo de ciberataques.
  • Dos factores: La autenticación de dos factores (2FA) es un método de seguridad que requiere dos tipos diferentes de identificación para acceder a una cuenta, dificultando el hackeo.
  • Contraseña root SSH: La contraseña root SSH permite acceso total de administrador a un servidor vía SSH. Es fundamental asegurarla o deshabilitarla para evitar accesos no autorizados.
Botnet Credential-stuffing Two-factor authentication
TRUSTBREAKER TRUSTBREAKER
Zero-Trust Validation Specialist
← Back to news