En el panorama de amenazas actual ha reaparecido un actor que apuesta por la sencillez y la escala: SSHStalker. Este botnet combina tácticas veteranas —como el uso de IRC para control remoto— con automatización masiva que explota servidores Linux expuestos, especialmente en entornos cloud.
Investigadores de la firma Flare desplegaron honeypots y observaron resultados significativos: casi 7.000 entradas de escaneo vinculadas a la campaña, con una muestra fechada en enero de .
El análisis revela una cadena de ataque que prioriza la fiabilidad de ejecución sobre la sofisticación en sigilo.
Mecanismo de infección y propagación
El vector inicial es simple pero eficaz: SSH con autenticación por contraseña débil es atacada mediante brute force automatizado. Una vez que se obtiene acceso, los atacantes despliegan un binario disfrazado como nmap, aunque en realidad es una herramienta escrita en Go que escanea puertos —sobre todo el puerto 22— para localizar nuevos objetivos.
Este comportamiento produce una propagación en estilo gusano desde máquinas comprometidas hacia otros servidores accesibles.
El flujo de trabajo posterior incluye la descarga de herramientas de compilación, como GCC, y la compilación local de código en C para garantizar que los bots funcionen en múltiples distribuciones. Esta decisión técnica reduce problemas de compatibilidad y facilita que los componentes en C actúen como agentes IRC confiables en cada host infectado.
Persistencia y vigilancia local
Para mantenerse activos, los artefactos instalan tareas periódicas: un cron que se ejecuta cada minuto actúa como watchdog y relanza el proceso principal si este falla. Además, existen utilidades que limpian logs (utmp, wtmp, lastlog) y el uso de ubicaciones en memoria, como /dev/shm, para reducir la huella en disco y complicar la detección forense.
Infraestructura de mando y capacidades
Contrario a muchos botnets modernos que usan paneles propietarios o servicios en la nube, SSHStalker recurre a IRC como plano de control.
Los componentes incluyen variantes en C y módulos en Perl que se unen a canales y servidores con detalles codificados. Se han identificado referencias a red de IRC pública y endpoints incrustados en el código fuente entregado durante las infecciones.
El repositorio analizado muestra módulos de orquestación etiquetados como GS y bootbou, que coordinan la secuencia de ejecución entre payloads, y herramientas para exfiltrar credenciales en la nube. Entre las capacidades técnicas figura la búsqueda y recolección de claves AWS mediante patrones que reconocen prefijos como AKIA o ASIA, así como la integración con software de minería de criptomonedas como PhoenixMiner. Aunque el botnet dispone de funciones para lanzar DDoS, los investigadores no han observado ataques activos, lo que sugiere una fase de preparación o acopio de acceso.
Exploits para kernels antiguos
Una de las señales distintivas es la colección de exploits para vulnerabilidades de kernel que datan de la era 2.6.x. Flare identificó artefactos relacionados con 16 CVE, incluidos CVE-2009-2692, CVE-2009-2698 y CVE-2010-3849, y scripts que automatizan la compilación y ejecución de módulos para escalar privilegios en sistemas sin parchar. Estos exploits son especialmente eficaces contra imágenes olvidadas, appliances desactualizados y entornos heredados que no forman parte del ciclo regular de mantenimiento.
Recomendaciones de defensa
La mitigación pasa por medidas básicas pero contundentes: desactivar la autenticación por contraseña en SSH y migrar a autenticación basada en claves, aplicar limitaciones de tasa para intentos de inicio de sesión y restringir el acceso a rangos IP confiables. Es imprescindible además vigilar instalaciones de compiladores en servidores de producción y alertar sobre tareas de cron que se ejecuten cada minuto.
Otras acciones útiles incluyen implementar filtrado de salida para bloquear conexiones tipo IRC, mantener control de inventario de activos para detectar máquinas olvidadas, y priorizar la eliminación o actualización de sistemas con kernels 2.6.x. En ambientes cloud, auditar y rotar credenciales expuestas y aplicar políticas de mínimo privilegio reduce el impacto de posibles exfiltraciones.
En síntesis, SSHStalker demuestra que las tácticas antiguas siguen siendo peligrosas cuando se combinan con automatización moderna y una estrategia de scale-first. La mejor defensa continúa siendo la disciplina operativa: parches, buenas prácticas en SSH y monitorización inteligente para detectar señales de compromiso.
