Pesquisadores da Flare identificaram uma nova botnet Linux chamada SSHStalker que comprometeu cerca de 7.000 sistemas usando exploits desatualizados e varredura SSH. A botnet usa IRC para comando e controle enquanto mantém persistência dormente sem atividades maliciosas imediatas como DDoS ou mineração de criptomoedas. Ela visa kernels Linux legados, destacando riscos em infraestrutura negligenciada.
No início de 2026, pesquisadores da Flare implantaram um honeypot SSH com credenciais fracas e observaram intrusões incomuns ao longo de dois meses. Após revisar bancos de dados de inteligência de ameaças, relatórios de fornecedores e repositórios de malware, confirmaram a atividade como previamente não documentada e a nomearam SSHStalker. A botnet combina táticas de botnet IRC da era 2009 com técnicas de comprometimento em massa automatizadas, infectando sistemas via ataques de força bruta SSH e varredura. O SSHStalker invade servidores Linux adivinhando senhas fracas ou reutilizadas, depois implanta uma carga útil de múltiplos estágios. Atacantes lançam um binário Golang disfarçado de «nmap» para sondar a porta 22 em busca de novos alvos, baixam GCC para compilar arquivos C no host e descompactam arquivos como GS e bootbou.tgz contendo bots IRC escritos em C e Perl, junto com famílias de malware conhecidas como Tsunami e Keiten. O kit inclui limpadores de log que visam histórico de shell e registros como utmp, wtmp e lastlog, bem como artefatos semelhantes a rootkits e exploits para kernels Linux 2.6.x de CVEs de 2009-2010. Uma vez instalado, a botnet estabelece persistência por meio de tarefas cron que executam a cada minuto para reiniciar processos se interrompidos, muitas vezes restaurando o controle em 60 segundos. Análise de servidores de staging revelou quase 7.000 sistemas recém-comprometidos em janeiro de 2026, principalmente servidores de nuvem ligados à infraestrutura Oracle Cloud em regiões globais. «Designamos esta operação 'SSHStalker' devido ao seu comportamento distinto: a botnet manteve acesso persistente sem executar operações de impacto observáveis», afirma o relatório da Flare. Essa «persistência dormente» sugere staging, testes ou retenção para uso futuro, com bots se conectando a canais IRC em uma rede pública legítima para se misturar ao tráfego normal. Embora as táticas se assemelhem a botnets no estilo Outlaw ou Maxlas, não há atribuição direta, embora artefatos em idioma romeno em configs e canais indiquem uma origem possível. A operação prioriza escala e confiabilidade sobre furtividade, afetando 1-3% dos servidores Linux expostos à internet, particularmente em ambientes legados como VPS desatualizados ou dispositivos embarcados. A Flare fornece indicadores de comprometimento e conselhos de mitigação, incluindo remover entradas cron, excluir kits de /dev/shm, desativar autenticação por senha SSH e monitorar compilações inesperadas ou conexões IRC.
