Новий Linux-ботнет під назвою SSHStalker використовує старий протокол IRC для командно-контрольної інфраструктури, масово зламує сервери через SSH-брутфорс, експлуатує CVE 2009–2010 років і закріплюється через cron кожні 60 секунд. Дослідники Flare зафіксували тисячі сканувань, спрямованих переважно на хмарні сервери, зокрема в Oracle Cloud.
SSHStalker не намагається бути “тихим” чи технологічно інноваційним. Навпаки — він працює за принципом “масштаб понад прихованість”. Замість сучасних C2-фреймворків ботнет використовує класичну IRC-модель із кількома серверами та каналами для резервування.
Початковий доступ отримується через автоматизоване сканування SSH та брутфорс. Для цього використовується Go-бінарник, який маскується під утиліту nmap. Після компрометації сервер починає сканувати інші SSH-цілі — механіка нагадує черв’якоподібне поширення.
Після зараження бот завантажує GCC і компілює payload безпосередньо на хості жертви, що підвищує сумісність та ускладнює виявлення. Далі встановлюються C-бінарники IRC-ботів із жорстко прописаними C2-серверами.
Для оркестрації завантажуються архіви GS та bootbou, які відповідають за виконання завдань і керування ботами. Закріплення забезпечується через cron-завдання, що запускаються кожні 60 секунд. Вони перевіряють активність процесу бота та перезапускають його у разі зупинки. Ботнет містить експлойти для 16 старих CVE Linux-ядра (2009–2010 років), які використовуються для підвищення привілеїв після первинного доступу через SSH.
Щодо монетизації, дослідники зафіксували:
викрадення AWS-ключів
сканування вебсайтів
інтеграцію майнера PhoenixMiner
наявність DDoS-функцій (поки без активного використання)
Наразі боти здебільшого просто підключаються до C2 та залишаються в режимі очікування, що може свідчити про тестування або накопичення доступів.
IRC-протокол, створений у 1988 році, був популярним у 1990-х як текстова система спілкування. Попри застарілість, він залишається простим, дешевим та стійким до відмов. Саме ці характеристики й роблять його привабливим для ботнет-операторів, які ставлять на масштаб і витривалість, а не на складні механізми маскування.
Дослідники відзначають схожість SSHStalker із ботнет-екосистемою Outlaw/Maxlas та наявність румунських індикаторів, однак атрибуція поки не підтверджена.
SSHStalker — це приклад того, як “старі” технології повертаються у кіберзагрозах. Масовість, простота та низька вартість інфраструктури дозволяють ботнету ефективно компрометувати Linux-сервери. Захист потребує базової гігієни: вимкнення SSH-парольної автентифікації, видалення компіляторів із продакшн-серверів, egress-фільтрації та моніторингу cron і IRC-з’єднань.
