Les chercheurs de Flare ont identifié un nouveau botnet Linux appelé SSHStalker qui a compromis environ 7 000 systèmes en utilisant des exploits obsolètes et un balayage SSH. Le botnet utilise IRC pour la commande et le contrôle tout en maintenant une persistance dormante sans activités malveillantes immédiates comme les DDoS ou le cryptomining. Il cible les noyaux Linux legacy, soulignant les risques dans les infrastructures négligées.
Début 2026, les chercheurs de Flare ont déployé un honeypot SSH avec des identifiants faibles et ont observé des intrusions inhabituelles pendant deux mois. Après avoir examiné des bases de données d'intelligence sur les menaces, des rapports de fournisseurs et des dépôts de malwares, ils ont confirmé que l'activité était auparavant non documentée et l'ont nommée SSHStalker. Le botnet combine des tactiques de botnet IRC de l'ère 2009 avec des techniques de compromission massive automatisée, infectant les systèmes via des attaques par force brute SSH et balayage. SSHStalker pénètre dans les serveurs Linux en devinant des mots de passe faibles ou réutilisés, puis déploie une charge utile multi-étapes. Les attaquants déposent un binaire Golang déguisé en «nmap» pour sonder le port 22 à la recherche de nouvelles cibles, téléchargent GCC pour compiler des fichiers C sur l'hôte, et décompressent des archives comme GS et bootbou.tgz contenant des bots IRC écrits en C et Perl, ainsi que des familles de malwares connues telles que Tsunami et Keiten. Le kit inclut des nettoyeurs de logs ciblant l'historique shell et des enregistrements comme utmp, wtmp et lastlog, ainsi que des artefacts semblables à des rootkits et des exploits pour les noyaux Linux 2.6.x issus de CVEs de 2009-2010. Une fois installé, le botnet établit une persistance via des tâches cron s'exécutant toutes les minutes pour relancer les processus s'ils sont perturbés, restaurant souvent le contrôle en 60 secondes. L'analyse des serveurs de staging a révélé près de 7 000 systèmes fraîchement compromis en janvier 2026, principalement des serveurs cloud liés à l'infrastructure Oracle Cloud dans des régions mondiales. «Nous avons désigné cette opération 'SSHStalker' en raison de son comportement distinctif : le botnet a maintenu un accès persistant sans exécuter d'opérations d'impact observables», indique le rapport de Flare. Cette «persistance dormante» suggère un staging, des tests ou une rétention pour un usage futur, les bots se connectant à des canaux IRC sur un réseau public légitime pour se fondre dans le trafic normal. Bien que les tactiques ressemblent à celles des botnets de style Outlaw ou Maxlas, aucune attribution directe n'existe, bien qu des artefacts en langue roumaine dans les configs et canaux indiquent une origine possible. L'opération priorise l'échelle et la fiabilité sur la discrétion, affectant 1-3 % des serveurs Linux exposés à Internet, particulièrement dans des environnements legacy comme des VPS obsolètes ou des appareils embarqués. Flare fournit des indicateurs de compromission et des conseils d'atténuation, incluant la suppression des entrées cron, la suppression des kits de /dev/shm, la désactivation de l'authentification par mot de passe SSH et la surveillance des compilations inattendues ou des connexions IRC.
