Investigadores han identificado un nuevo botnet de Linux llamado SSHStalker que depende del protocolo IRC obsoleto para sus operaciones de comando y control. El botnet se propaga mediante escaneo SSH y fuerza bruta, dirigido a infraestructura en la nube. Incorpora vulnerabilidades antiguas y mecanismos de persistencia para una infección amplia.
El botnet SSHStalker, documentado por la firma de inteligencia de amenazas Flare, opera utilizando el protocolo Internet Relay Chat (IRC), desarrollado originalmente en 1988 y popular en los años 90 para mensajería basada en texto. Esta elección enfatiza la simplicidad, bajo ancho de banda y resiliencia a través de múltiples bots basados en C y servidores y canales redundantes, en lugar de técnicas avanzadas de sigilo. La infección inicial ocurre mediante una herramienta basada en Go disfrazada como el escáner de red nmap, que realiza escaneos SSH ruidosos y ataques de fuerza bruta. Una vez dentro de un host, el malware usa el sistema comprometido para escanear más objetivos, permitiendo una propagación similar a un gusano. Flare analizó un archivo con resultados de casi 7.000 escaneos realizados en enero, dirigidos principalmente a infraestructura de Oracle Cloud. Después de obtener acceso, SSHStalker descarga el compilador GCC para construir payloads directamente en la máquina víctima, mejorando la portabilidad. Luego despliega bots IRC codificados en C con servidores y canales de comando y control predefinidos para integrar el host en la red. Componentes adicionales de archivos llamados GS y bootbou manejan la orquestación. La persistencia se mantiene mediante trabajos cron que se ejecutan cada 60 segundos, actuando como un watchdog para reiniciar el proceso principal si se termina. Para la escalada de privilegios, el botnet explota 16 vulnerabilidades y exposiciones comunes (CVEs) de kernels de Linux de 2009-2010, tras una entrada inicial con bajos privilegios. Las características de monetización incluyen la recolección de claves AWS, escaneo de sitios web y despliegue de PhoenixMiner para minería de criptomonedas Ethereum. Las herramientas DDoS están integradas pero sin usar hasta ahora; los bots típicamente se conectan a servidores C2 y permanecen inactivos, lo que indica posibles pruebas o acumulación de recursos. Flare nota similitudes con la familia de botnets Outlaw/Maxlas e indicadores vinculados a Rumania, pero no lo ha ligado a un grupo específico. Para contrarrestarlo, la firma aconseja monitorear actividad de compiladores, tráfico saliente IRC y trabajos cron frecuentes. Pasos defensivos incluyen desactivar inicios de sesión SSH por contraseña, eliminar compiladores de entornos de producción, aplicar filtros de salida y bloquear ejecuciones en /dev/shm.
