Flareの研究者らが、SSHスキャンと古いエクスプロイトを使用して約7,000システムを侵害した新しいLinuxボットネットSSHStalkerを特定。ボットネットはDDoSやクリプトマイニングなどの即時悪意ある活動なしに休眠持続性を維持しつつIRCをコマンド&コントロールに使用。レガシーLinuxカーネルを標的にし、無視されたインフラのリスクを浮き彫りにする。
2026年初頭、Flare研究者らは弱い認証情報付きSSHハニーポットを展開し、2か月間にわたる異常侵入を観測した。脅威インテリジェンスデータベース、ベンダーレポート、マルウェアリポジトリを調査後、未文書化の活動を確認しSSHStalkerと命名。ボットネットは2009年時代IRCボットネット戦術を自動大量侵害技術と組み合わせ、SSHブルートフォース攻撃とスキャンでシステムを感染させる。 SSHStalkerは弱いまたは再利用パスワードを推測してLinuxサーバーに侵入し、多段階ペイロードを展開。攻撃者は「nmap」として偽装したGolangバイナリを落としポート22を新たな標的に探り、GCCをダウンロードしてホスト上でCファイルをコンパイルし、GSやbootbou.tgzなどのアーカイブを解凍してCおよびPerlで書かれたIRCボットやTsunami、Keitenなどの既知マルウェアファミリを含む。ツールキットにはシェル履歴やutmp、wtmp、lastlogなどのログを対象としたクリーナー、ルートキット様アーティファクト、および2009-2010 CVE由来のLinux 2.6.xカーネルエクスプロイトが含まれる。 インストール後、ボットネットはcronジョブで1分ごとにプロセスを再起動し中断時60秒以内に制御を回復する持続性を確立。ステージングサーバー分析で2026年1月に約7,000の新規侵害システムが判明、主にOracle Cloudインフラにリンクしたグローバル地域のクラウドサーバー。 「この作戦をSSHStalkerと命名したのは、その特徴的な挙動による:ボットネットは観測可能な影響操作を実行せずに持続的アクセスを維持した」とFlareレポート。 この「休眠持続性」はステージング、テスト、将来利用のための保持を示唆し、ボットは正当なパブリックネットワークのIRCチャネルに接続して通常トラフィックに溶け込む。 OutlawやMaxlasスタイルボットネットに似るが直接帰属なし、設定やチャネル内のルーマニア語アーティファクトが起源を示唆。作戦はステルスより規模と信頼性を優先し、インターネット公開Linuxサーバーの1-3%に影響、特に古いVPSや組み込みデバイスなどのレガシー環境。 Flareは侵害指標と緩和策を提供、cronエントリ削除、/dev/shmからのキット削除、SSHパスワード認証無効化、予期せぬコンパイルやIRC接続監視を含む。
