Peneliti Flare telah mengidentifikasi botnet Linux baru bernama SSHStalker yang telah mengkompromikan sekitar 7.000 sistem menggunakan eksploitasi usang dan pemindaian SSH. Botnet ini menggunakan IRC untuk command-and-control sambil mempertahankan persistensi dorman tanpa aktivitas berbahaya segera seperti DDoS atau cryptomining. Ia menargetkan kernel Linux lama, menyoroti risiko pada infrastruktur yang diabaikan.
Pada awal 2026, peneliti Flare menyebarkan honeypot SSH dengan kredensial lemah dan mengamati intrusi tidak biasa selama dua bulan. Setelah meninjau database intelijen ancaman, laporan vendor, dan repositori malware, mereka mengonfirmasi aktivitas tersebut sebagai yang belum terdokumentasi sebelumnya dan menamainya SSHStalker. Botnet ini menggabungkan taktik botnet IRC era 2009 dengan teknik kompromi massal otomatis, menginfeksi sistem melalui serangan brute-force SSH dan pemindaian. SSHStalker menerobos server Linux dengan menebak kata sandi lemah atau digunakan ulang, kemudian menyebarkan muatan multi-tahap. Penyerang menjatuhkan binary Golang yang disamarkan sebagai «nmap» untuk memindai port 22 untuk target baru, mengunduh GCC untuk mengompilasi file C di host, dan membongkar arsip seperti GS dan bootbou.tgz yang berisi bot IRC yang ditulis dalam C dan Perl, bersama dengan keluarga malware terkenal seperti Tsunami dan Keiten. Toolkit mencakup pembersih log yang menargetkan riwayat shell dan catatan seperti utmp, wtmp, dan lastlog, serta artefak mirip rootkit dan eksploitasi untuk kernel Linux 2.6.x dari CVE 2009-2010. Setelah diinstal, botnet membangun persistensi melalui pekerjaan cron yang berjalan setiap menit untuk memulai ulang proses jika terganggu, sering memulihkan kontrol dalam 60 detik. Analisis server staging mengungkap hampir 7.000 sistem yang baru dikompromikan pada Januari 2026, terutama server cloud yang terkait dengan infrastruktur Oracle Cloud di berbagai wilayah global. «Kami menunjuk operasi ini 'SSHStalker' karena perilakunya yang khas: botnet mempertahankan akses persisten tanpa menjalankan operasi dampak yang dapat diamati», kata laporan Flare. Persistensi «dorman» ini menunjukkan staging, pengujian, atau retensi untuk penggunaan masa depan, dengan bot terhubung ke saluran IRC pada jaringan publik yang sah untuk berbaur dengan lalu lintas normal. Meskipun taktik mirip dengan botnet gaya Outlaw atau Maxlas, tidak ada atribusi langsung, meskipun artefak bahasa Rumania dalam config dan saluran menunjukkan asal yang mungkin. Operasi memprioritaskan skala dan keandalan daripada stealth, memengaruhi 1-3% server Linux yang menghadap internet, terutama di lingkungan lama seperti VPS usang atau perangkat tertanam. Flare menyediakan indikator kompromi dan saran mitigasi, termasuk menghapus entri cron, menghapus kit dari /dev/shm, menonaktifkan autentikasi kata sandi SSH, dan memantau kompilasi tak terduga atau koneksi IRC.
