لقد حدد باحثو Flare شبكة بوتنت لينكس جديدة تُدعى SSHStalker والتي قد اخترقت حوالي 7000 نظام باستخدام ثغرات قديمة ومسح SSH. تستخدم الشبكة IRC للتحكم والقيادة مع الحفاظ على الاستمرارية النائمة دون أنشطة ضارة فورية مثل DDoS أو تعدين العملات المشفرة. تستهدف نوى لينكس القديمة، مما يبرز المخاطر في البنية التحتية المهملة.
في أوائل عام 2026، نشر باحثو Flare فخ SSH ببيانات اعتماد ضعيفة ورصدوا اقتحامات غير عادية على مدى شهرين. بعد مراجعة قواعد بيانات الاستخبارات التهديدية وتقارير البائعين ومستودعات البرمجيات الضارة، أكدوا أن النشاط غير موثق سابقًا وسموه SSHStalker. تجمع الشبكة بين تكتيكات بوتنت IRC من عصر 2009 مع تقنيات الاختراق الجماعي الآلي، مصابة الأنظمة عبر هجمات القوة الغاشمة SSH والمسح. يخترق SSHStalker خوادم لينكس بخمن كلمات مرور ضعيفة أو معاد استخدامها، ثم ينشر حمولة متعددة المراحل. يسقط المهاجمون ثنائي Golang متنكرًا باسم «nmap» لاستكشاف المنفذ 22 لأهداف جديدة، يقومون بتنزيل GCC لتجميع ملفات C على المضيف، وفك ضغط أرشيفات مثل GS وbootbou.tgz التي تحتوي على بوتات IRC مكتوبة بلغة C وPerl، بالإضافة إلى عائلات البرمجيات الضارة المعروفة مثل Tsunami وKeiten. يشمل الأداة منظفات السجلات التي تستهدف تاريخ الشل والسجلات مثل utmp وwtmp وlastlog، بالإضافة إلى آثار تشبه الروتكيت وثغرات لنوى لينكس 2.6.x من CVEs لعامي 2009-2010. بمجرد التثبيت، تؤسس الشبكة الاستمرارية من خلال وظائف cron التي تعمل كل دقيقة لإعادة تشغيل العمليات إذا تعطلت، غالبًا ما تعيد السيطرة في غضون 60 ثانية. كشف تحليل خوادم التحضير عن نحو 7000 نظام مصاب حديثًا في يناير 2026، وهي بشكل رئيسي خوادم سحابية مرتبطة ببنية Oracle Cloud عبر مناطق عالمية. «لقد عينّا هذه العملية 'SSHStalker' بسبب سلوكها المميز: حافظت الشبكة على الوصول المستمر دون تنفيذ أي عمليات تأثير ملحوظة»، يقول تقرير Flare. هذه «الاستمرارية النائمة» تشير إلى التحضير أو الاختبار أو الاحتفاظ للاستخدام المستقبلي، مع اتصال البوتات بقنوات IRC على شبكة عامة شرعية للاندماج في الحركة المرور العادية. بينما تشبه التكتيكات شبكات Outlaw أو Maxlas، لا توجد نسبة مباشرة، على الرغم من أن الآثار باللغة الرومانية في الإعدادات والقنوات تشير إلى أصل محتمل. تعطي العملية الأولوية للحجم والموثوقية على الخفاء، مؤثرة على 1-3% من خوادم لينكس المواجهة للإنترنت، خاصة في البيئات القديمة مثل VPS القديمة أو الأجهزة المضمنة. يقدم Flare مؤشرات الاختراق ونصائح التخفيف، بما في ذلك إزالة إدخالات cron وحذف الأدوات من /dev/shm وتعطيل مصادقة كلمة مرور SSH ومراقبة التجميعات غير المتوقعة أو اتصالات IRC.
