Over the past few years, the Ecency free account creation service has been hacked by what appears to be an SEO botnet. Thousands of accounts have been created (Ecency received regular investigation reports). Regardless of some fixes implemented, this cybersecurity threat has not been prevented.
This mass, automated SEO spam is generally considered a cybersecurity threat. It abuses the Hive ecosystem's free account creation service (via Ecency) - deceptive and unauthorised activity.
It is not just a low-level cybersecurity threat because many backlinks published by these accounts are possible phishing links. As shown in this example:
Some other examples of these SEO spam accounts:
THE SAME PATTERN:
THE THREAT ACTOR USES AN ADVANCED AUTOMATION TOOL THAT RUNS A COMPLEX SCRIPT
How this SEO botnet operates:
The bot script uses disposable email services (like Mailinator) to read emails with verification codes and verify the accounts.
CAPTCHA
It is cracked by using a bot that uses CAPTCHA-solving services - the puzzle/image is forwarded to human workers. These services are usually based in developing countries with a very low minimum wage. These "workers" solve dozens of CAPTCHA for a fraction of a US dollar.
It is possible that the hacker also uses AI tools trained to solve puzzles or visual patterns. That would likely require more computing/hardware power (and cost).
IP DECEPTION
The hacker may use automated services that lease IP addresses from some residential internet connections, tools that circulate through thousands of VPN nodes, or which rotate IPv6 addresses from cheap Virtual Private Server providers.
It might also happen that the botnet is using devices infected with certain malware that runs those scripts. It is also possible that some installed programs or applications secretly run scripts that use the device's bandwidth.
This would explain why different IPs are used for these accounts.
AI CONTENT
The script uses Large Language Models like ChatGPT or DeepSeek to generate posts and comments. These types of bots have been a common activity on Hive (the most famous bt that spams "waivio" tag).
THE SOLUTIONS THAT I SUGGESTED THAT MAY POSSIBLY FIX THIS:
Currently, Ecency has only email verification and basic CAPTCHA.
This may not completely prevent this malicious actor, but it would frustrate its activity and force the hacker to use more hardware resources.
ESPAÑOL:
En los últimos años, el servicio de creación de cuentas gratuitas de Ecency ha sido hackeado por lo que parece ser una red de bots de SEO. Se han creado miles de cuentas (Ecency recibía informes de investigación con regularidad). A pesar de algunas medidas correctivas aplicadas, no se ha logrado evitar esta amenaza para la ciberseguridad.
Este spam SEO masivo y automatizado se considera generalmente una amenaza para la ciberseguridad. Abusa del servicio de creación de cuentas gratuitas del ecosistema Hive (a través de Ecency), lo que constituye una actividad engañosa y no autorizada.
No se trata solo de una amenaza de ciberseguridad de bajo nivel, ya que muchos de los enlaces externos publicados por estas cuentas son posibles enlaces de phishing.
EL MISMO PATRÓN:
EL ACTOR MALICIOSO UTILIZA UNA HERRAMIENTA DE AUTOMATIZACIÓN AVANZADA QUE EJECUTA UN SCRIPT COMPLEJO
Cómo funciona esta red de bots de SEO:
CORREO ELECTRÓNICO
El script del bot utiliza servicios de correo electrónico desechables (como Mailinator) para leer los correos electrónicos con códigos de verificación y verificar las cuentas.
CAPTCHA
Se descifra mediante un bot que utiliza servicios de resolución de CAPTCHA: el rompecabezas o la imagen se reenvía a trabajadores humanos.. Estos servicios suelen estar ubicados en países en desarrollo con salarios mínimos muy bajos. Estos "trabajadores" resuelven decenas de CAPTCHA por una fracción de dólar estadounidense.
Es posible que el hacker también utilice herramientas de IA entrenadas para resolver rompecabezas o patrones visuales. Esto probablemente requeriría mayor potencia de procesamiento/hardware (y, por lo tanto, mayor costo).
ENGAÑO DE IP
El hacker podría utilizar servicios automatizados que alquilan direcciones IP de conexiones residenciales a internet, herramientas que circulan a través de miles de nodos VPN o que rotan direcciones IPv6 de proveedores de servidores virtuales privados (VPS) económicos.
También podría darse el caso de que la botnet utilice dispositivos infectados con cierto malware que ejecuta estos scripts. Asimismo, es posible que algunos programas o aplicaciones instalados ejecuten secretamente scripts que consumen el ancho de banda del dispositivo.
Esto explicaría por qué se utilizan diferentes direcciones IP para estas cuentas.
CONTENIDO DE IA
El script utiliza modelos de lenguaje complejos como ChatGPT o DeepSeek para generar publicaciones y comentarios. Este tipo de bots ha sido una actividad común en Hive (el bot más famoso que envía spam con la etiqueta "waivio").
SOLUCIONES QUE SUGIERO PARA POSIBLEMENTE SOLUCIONAR ESTO:
Actualmente, Ecency solo tiene verificación de correo electrónico y CAPTCHA básico.
Esto podría no detener por completo a este actor malicioso, pero dificultaría su actividad y obligaría al hacker a usar más recursos de hardware.
You can browse the Hivewatchers blacklist here to browse these accounts.
ES: Puedes consultar la lista negra de Hivewatchers aquí para ver estas cuentas.
https://hivewatchers.io/blacklist-search
https://promote.hive.io/metrics/onboarding/blacklisted
Top image by thepeakstudio.
