Peneliti telah mengidentifikasi botnet Linux baru bernama SSHStalker yang mengandalkan protokol IRC usang untuk operasi command-and-control-nya. Botnet ini menyebar melalui pemindaian SSH dan brute-force, menargetkan infrastruktur cloud. Ia menggabungkan kerentanan lama dan mekanisme persistensi untuk infeksi luas.
Botnet SSHStalker, yang didokumentasikan oleh perusahaan intelijen ancaman Flare, beroperasi menggunakan protokol Internet Relay Chat (IRC), yang awalnya dikembangkan pada 1988 dan populer di tahun 1990-an untuk pesan berbasis teks. Pilihan ini menekankan kesederhanaan, konsumsi bandwidth rendah, dan ketahanan melalui beberapa bot berbasis C dan server serta saluran redundan, daripada teknik penyembunyian canggih. Infeksi awal terjadi melalui alat berbasis Go yang menyamar sebagai pemindai jaringan nmap, yang melakukan pemindaian SSH berisik dan serangan brute-force. Setelah masuk ke host, malware menggunakan sistem yang dikompromikan untuk memindai target lebih lanjut, memungkinkan penyebaran seperti cacing. Flare menganalisis file yang berisi hasil dari hampir 7.000 pemindaian yang dilakukan pada Januari, terutama ditargetkan pada infrastruktur Oracle Cloud. Setelah mendapatkan akses, SSHStalker mengunduh kompiler GCC untuk membangun payload langsung di mesin korban, meningkatkan portabilitas. Kemudian menyebarkan bot IRC yang dikodekan dalam C dengan server dan saluran command-and-control yang telah ditentukan sebelumnya untuk mengintegrasikan host ke dalam jaringan. Komponen tambahan dari arsip bernama GS dan bootbou menangani orkestrasi. Persistensi dipertahankan melalui tugas cron yang berjalan setiap 60 detik, bertindak sebagai watchdog untuk memulai ulang proses utama jika dihentikan. Untuk eskalasi hak istimewa, botnet mengeksploitasi 16 kerentanan dan paparan umum (CVEs) dari kernel Linux tahun 2009-2010, setelah masuk awal dengan hak rendah. Fitur monetisasi mencakup panen kunci AWS, pemindaian situs web, dan penerapan PhoenixMiner untuk penambangan kripto Ethereum. Alat DDoS built-in tetapi belum digunakan; bot biasanya terhubung ke server C2 dan tetap idle, menunjukkan pengujian potensial atau penimbunan sumber daya. Flare mencatat kemiripan dengan keluarga botnet Outlaw/Maxlas dan indikator terkait Rumania tetapi belum menghubungkannya dengan kelompok tertentu. Untuk melawannya, perusahaan menyarankan pemantauan aktivitas kompiler, lalu lintas keluar IRC, dan tugas cron sering. Langkah defensif mencakup menonaktifkan login password SSH, menghapus kompiler dari lingkungan produksi, menerapkan filter keluar, dan memblokir eksekusi di /dev/shm.
