¿Qué es SSHStalker?

SSHStalker es un botnet de Linux que utiliza IRC clásico para comando y control (C2), realiza ataques SSH de fuerza bruta y propaga payloads compilados localmente en servidores comprometidos.

¿Cómo se propaga SSHStalker?

SSHStalker se propaga mediante escaneo automatizado de servidores SSH vulnerables y ataques de fuerza bruta, a menudo disfrazados de utilidades legítimas de Go basadas en nmap. Los bots infectados buscan otros servidores SSH para expandirse.

¿Cómo se comunica SSHStalker con sus operadores?

SSHStalker utiliza canales IRC tradicionales con servidores codificados para recibir comandos y enviar información, permitiendo a los operadores controlar el botnet de manera centralizada.

¿Qué actividades maliciosas realiza SSHStalker?

SSHStalker realiza recolección de claves AWS, escaneo de sitios web, criptominado de Ethereum usando PhoenixMiner y prepara ataques DDoS. También puede almacenar accesos para uso futuro incluso si los bots permanecen inactivos.

¿Cómo se puede mitigar la infección por SSHStalker?

Para mitigar SSHStalker se recomienda deshabilitar la autenticación por contraseña en SSH, usar solo login por clave, eliminar compiladores de imágenes de producción, aplicar filtrado de salida para bloquear conexiones no autorizadas y restringir ejecución desde directorios no estándar como /dev/shm.

¿Qué indicadores de compromiso (IoC) se deben monitorear?

Se recomienda monitorear la instalación o ejecución inesperada de compiladores, tareas Cron cada minuto desde rutas inusuales, tráfico saliente estilo IRC y uso de exploits antiguos del kernel de Linux.

Nuevo botnet Linux SSHStalker usa el IRC Clásico para tomar el Comando y Control | Noticias Hacking y Seguridad Informática

Un botnet de Linux recién descubierto, SSHStalker, está reviviendo el IRC (Internet Relay Chat) tradicional para ejecutar operaciones de comando y control (C2), según investigadores de Flare.

Aunque IRC puede parecer anticuado (inventado en 1988 y tuvo su auge en los 90) pero su simplicidad, interoperabilidad y bajo consumo de ancho de banda lo hacen atractivo para operadores de botnets que buscan infraestructura resiliente y de bajo costo.

¿Cómo operar SSHStalker?

La investigación de Flare reveló que SSHStalker prioriza escala y confiabilidad sobre sigilo, usando técnicas reminiscente de los primeros botnets:

Acceso inicial: Escaneo automatizado de SSH y ataques de fuerza bruta, a menudo disfrazados como utilidades legítimas de Go basadas en nmap.
Propagación: Máquinas comprometidas buscan otros objetivos SSH, generando un propagación tipo gusano.
Comunicaciones C2: Bots IRC clásicos con servidores y canales codificados reclutan nuevas víctimas al botnet.
Persistencia: Tareas Cron ejecutadas cada 60 segundos aseguran que el bot se reinicie si es terminado.
Compilación de payloads: Los hosts víctimas descargan GCC para compilar binarios localmente, mejorando portabilidad y evasión.

El botnet también explota 16 CVEs del kernel de Linux de 2009–2010 para escalar privilegios en sistemas comprometidos.

Saber Más..

Actividad y capacidades observadas

Los investigadores notaron varias funciones dentro de SSHStalker:

Recolección de claves AWS y reconocimiento de cuentas en la nube
Escaneo de sitios web para posibles objetivos
Criptominado usando PhoenixMiner (Ethereum)
Funcionalidad DDoS presente, aunque aún no observada en acción

Curiosamente, muchos bots infectados se conectan al servidor IRC y permanecen inactivos, lo que sugiere que el botnet podría estar probando infraestructura o almacenando accesos en lugar de atacar activamente.

Indicadores y consejos de Threat Hunting

Flare recomienda monitorear servidores en busca de signos de infección por SSHStalker:

Instalación o ejecución inesperada de compiladores
Tareas Cron con intervalos de 1 minuto desde rutas inusuales
Tráfico saliente estilo IRC
Uso de exploits antiguos de Linux

Estrategias de mitigación

Para reducir el riesgo de compromisos por SSHStalker:

Deshabilitar autenticación por contraseña en SSH; usar solo login por clave
Eliminar compiladores de imágenes de producción para evitar compilación de payloads
Aplicar filtrado de salida para bloquear conexiones no autorizadas
Restringir ejecución desde /dev/shm y otros directorios no estándar

¿Cómo operar SSHStalker?

Actividad y capacidades observadas

Indicadores y consejos de Threat Hunting

Estrategias de mitigación

🔥 LO MÁS VISTO DE ESTA CATEGORÍA