Los investigadores de Flare han identificado una nueva botnet de Linux llamada SSHStalker que ha comprometido alrededor de 7.000 sistemas utilizando exploits obsoletos y escaneo SSH. La botnet emplea IRC para comando y control mientras mantiene una persistencia dormida sin actividades maliciosas inmediatas como DDoS o minería de criptomonedas. Apunta a kernels de Linux legacy, destacando riesgos en infraestructuras descuidadas.
A principios de 2026, los investigadores de Flare desplegaron un honeypot SSH con credenciales débiles y observaron intrusiones inusuales durante dos meses. Tras revisar bases de datos de inteligencia de amenazas, informes de proveedores y repositorios de malware, confirmaron que la actividad era previamente no documentada y la nombraron SSHStalker. La botnet combina tácticas de botnet IRC de la era 2009 con técnicas de compromiso masivo automatizado, infectando sistemas mediante ataques de fuerza bruta SSH y escaneo. SSHStalker irrumpe en servidores Linux adivinando contraseñas débiles o reutilizadas, luego despliega una carga útil de múltiples etapas. Los atacantes sueltan un binario Golang disfrazado como «nmap» para sondear el puerto 22 en busca de nuevos objetivos, descargan GCC para compilar archivos C en el host, y desempaquetan archivos como GS y bootbou.tgz que contienen bots IRC escritos en C y Perl, junto con familias de malware conocidas como Tsunami y Keiten. El kit incluye limpiadores de logs que atacan el historial de shell y registros como utmp, wtmp y lastlog, así como artefactos similares a rootkits y exploits para kernels Linux 2.6.x de CVEs de 2009-2010. Una vez instalado, la botnet establece persistencia mediante trabajos cron que se ejecutan cada minuto para reiniciar procesos si se interrumpen, restaurando a menudo el control en 60 segundos. El análisis de servidores de staging reveló casi 7.000 sistemas recién comprometidos en enero de 2026, principalmente servidores en la nube vinculados a la infraestructura de Oracle Cloud en regiones globales. «Hemos designado esta operación 'SSHStalker' debido a su comportamiento distintivo: la botnet mantenía acceso persistente sin ejecutar operaciones de impacto observables», indica el informe de Flare. Esta «persistencia dormida» sugiere staging, pruebas o retención para uso futuro, con bots conectándose a canales IRC en una red pública legítima para mezclarse con el tráfico normal. Aunque las tácticas se asemejan a botnets estilo Outlaw o Maxlas, no hay atribución directa, aunque artefactos en idioma rumano en configs y canales indican un posible origen. La operación prioriza escala y fiabilidad sobre sigilo, afectando al 1-3% de servidores Linux expuestos a internet, particularmente en entornos legacy como VPS obsoletos o dispositivos embebidos. Flare proporciona indicadores de compromiso y consejos de mitigación, incluyendo eliminar entradas cron, borrar kits de /dev/shm, desactivar autenticación por contraseña SSH y monitorear compilaciones inesperadas o conexiones IRC.
