Forskare på Flare har identifierat ett nytt Linux-botnätverk kallat SSHStalker som har komprometterat cirka 7 000 system med föråldrade sårbarheter och SSH-skanning. Botnätverket använder IRC för kommando- och kontroll medan det upprätthåller vilande persistens utan omedelbara skadliga aktiviteter som DDoS eller kryptomining. Det riktar sig mot äldre Linux-kärnor och belyser risker i försummad infrastruktur.
I början av 2026 driftsatte Flare-forskare en SSH-honeypot med svaga uppgifter och observerade ovanliga intrång under två månader. Efter granskning av hotintelligensdatabaser, leverantörsrapport och malware-repositorier bekräftade de aktiviteten som tidigare odokumenterad och namngav den SSHStalker. Botnätverket kombinerar IRC-botnätverkstaktiker från 2009-eran med automatiserade masskompromettsmetoder och infekterar system via SSH-brute force-attacker och skanning. SSHStalker bryter sig in i Linux-servrar genom att gissa svaga eller återanvända lösenord, sedan distribuerar en flerstegsbetalning. Angripare släpper en Golang-binär dold som «nmap» för att sondra port 22 efter nya mål, laddar ner GCC för att kompilera C-filer på värden och packar upp arkiv som GS och bootbou.tgz innehållande IRC-botar skrivna i C och Perl, tillsammans med kända malwarefamiljer som Tsunami och Keiten. Verktygslådan inkluderar loggrensare som riktar sig mot shell-historik och poster som utmp, wtmp och lastlog, samt rootkit-liknande artefakter och exploits för Linux 2.6.x-kärnor från 2009-2010 CVEs. När det är installerat etablerar botnätverket persistens genom cron-jobb som körs varje minut för att starta om processer om de störs, ofta återställer kontroll inom 60 sekunder. Analys av staging-servrar avslöjade nästan 7 000 nyligen komprometterade system i januari 2026, främst molnservrar kopplade till Oracle Cloud-infrastruktur över globala regioner. «Vi har betecknat denna operation 'SSHStalker' på grund av dess distinkta beteende: botnätverket upprätthöll persistent åtkomst utan att utföra några observerbara påverkningsoperationer», anger Flare-rapporten. Denna «vilande persistens» tyder på staging, testning eller bevarande för framtida användning, med botar som ansluter till IRC-kanaler på ett legitimt publikt nätverk för att smälta in i normal trafik. Även om taktiker liknar Outlaw- eller Maxlas-stil botnätverk finns ingen direkt attribution, även om rumänskspråkiga artefakter i konfigurationer och kanaler indikerar ett möjligt ursprung. Operationen prioriterar skala och tillförlitlighet framför stealth och påverkar 1-3 % av internetutsatta Linux-servrar, särskilt i äldre miljöer som föråldrade VPS eller inbäddade enheter. Flare tillhandahåller kompromissindikatorer och rekommendationer för åtgärder, inklusive borttagning av cron-poster, radering av kit från /dev/shm, inaktivering av SSH-lösenordsautentisering och övervakning av oväntade kompileringar eller IRC-anslutningar.
