Nowy botnet Linux „SSHStalker”: masowy brute force SSH i „retro” IRC jako C2

Wprowadzenie do problemu / definicja luki

SSHStalker to nowo opisany botnet dla Linuksa, który wraca do „starej szkoły” w warstwie dowodzenia: zamiast nowoczesnych frameworków C2 używa klasycznego IRC. Nie chodzi tu jednak o nostalgię, tylko o pragmatykę: niski koszt, prostotę, odporność (wiele serwerów/kanałów) i łatwe skalowanie. Z perspektywy obrońców to groźna mieszanka, bo kampania kładzie nacisk na masowość: głośne skanowanie SSH, brute force, szybkie dosyłanie kolejnych modułów oraz agresywna persystencja realizowana przez crona co minutę.

W skrócie

• Wejście: automatyczne skanowanie portu 22 i brute force SSH (binarka w Go podszywająca się pod „nmap”).
• Propagacja: przejęte hosty skanują dalej – zachowanie „robakopodobne”.
• C2: IRC-boty w C/Perlu z zakodowanymi serwerami/kanałami; widoczna redundancja kanałów/serwerów.
• Persystencja: cron co 60 sekund + mechanizm „watchdog/update” wznawiający główny proces.
• Eskalacja uprawnień: wykorzystanie zestawu starych exploitów kernela Linuksa (era 2009–2010).
• Monetyzacja/funkcje: m.in. skanowanie stron pod kątem kluczy AWS, kopanie krypto (np. PhoenixMiner) oraz potencjalne DDoS (na razie obserwowano raczej „bezczynność” botów).

Kontekst / historia / powiązania

Badacze opisują SSHStalker jako zestaw „zszytych” elementów: klasyczne boty IRC, stare exploity i bardzo proste mechanizmy utrzymania się na hoście – ale spięte w sprawny pipeline masowej kompromitacji.

W analizach pojawiają się podobieństwa do ekosystemu Outlaw/Maxlas oraz wzmianki o „rumuńskich” tropach, ale bez twardej atrybucji (możliwy klon, pochodna lub aktor luźno powiązany).

Ciekawy jest też wątek skali: Flare wskazuje na artefakt ze skanami sugerującymi ok. 7 tys. wyników (styczeń 2026) i dominację infrastruktury chmurowej (m.in. ślady Oracle Cloud/ASN).

Analiza techniczna / szczegóły luki

1) Dostęp początkowy i „nmap”, który nmapem nie jest

Pierwszy etap to binarka nazwana „nmap”, będąca w praktyce skanerem SSH napisanym w Go. Jej rola jest typowo „wormowa”: znaleźć nowe cele z otwartym portem 22 i zasilić łańcuch kolejnych prób logowania.

2) Kompilacja na hoście (GCC) – portowalność i utrudnienie detekcji

Po przejęciu serwera atakujący dociąga narzędzia kompilacji (GCC), a następnie zrzuca źródła (C/Perl) i kompiluje je lokalnie. To daje lepszą „dopasowalność” binarek do środowiska ofiary i utrudnia proste blokowanie po hashu.

3) Warstwa C2 na IRC: boty w C + Perl + elementy „kamuflażu”

Pierwsze payloady to IRC-boty (C) z twardo wpisanymi serwerami/kanałami, a następnie kolejne archiwa („GS”, „bootbou”) zawierające moduły orkiestracji, backdoory, czyszczenie logów oraz logikę dalszego wdrażania.
Flare opisuje też oznaki użycia EnergyMech (historycznie popularny bot IRC) i co ważne: „banki tekstów” (zwroty, losowe powiedzonka), które mogą generować szum w kanałach i utrudniać rozróżnienie ruchu „ludzkiego” od automatycznego.

4) Persystencja: cron co minutę i watchdog „update”

SSHStalker idzie w prostotę: wpis crona uruchamia co minutę skrypt „update”, który sprawdza PID procesu i wznawia całość, jeżeli bot został ubity. Dla SOC/IR to oznacza, iż „zabicie procesu” bez usunięcia mechanizmu persystencji daje efekt maksymalnie chwilowy.

5) Stare exploity kernela do eskalacji

Po brute force (często do konta z ograniczeniami) botnet sięga po zestaw starych podatności kernela (2009–2010) w celu podbicia uprawnień. To szczególnie groźne w środowiskach „long-tail”: stare VPS-y, porzucone obrazy, przestarzałe appliance’y, OT/IoT.

6) Moduły „zarobkowe” i funkcjonalne

W obserwacjach pojawiają się m.in.:

• narzędzia do poszukiwania kluczy AWS w zasobach WWW (wzorce typu AKIA…),
• cryptomining (np. PhoenixMiner oraz inne zestawy kopiące przez pule),
• komponenty sugerujące możliwość DDoS, choć w momencie opisu boty często zachowywały się pasywnie (podłączenie do C2 i „idle”).

Praktyczne konsekwencje / ryzyko

1. Ryzyko przejęcia serwerów produkcyjnych przez słabe SSH: jeżeli dopuszczasz logowanie hasłem, masz otwarty port 22 do internetu i brak rate-limitów/FA2 (tam gdzie możliwe), jesteś wprost w profilu ofiary.
2. Szybka reinfekcja po „prostym” czyszczeniu: cron co minutę oznacza, iż półśrodki w IR nie działają.
3. Eskalacja na starych kernelach: infrastruktura legacy jest realnie bardziej narażona – choćby jeżeli dostęp początkowy jest „tylko” na niskim koncie.
4. Egress i „dziwny” IRC z serwerów: w wielu organizacjach ruch IRC z serwera aplikacyjnego powinien być z definicji podejrzany.
5. Dodatkowe szkody: kradzież kluczy chmurowych + kopanie krypto + potencjalne DDoS to klasyczna ścieżka od „włamania” do kosztów operacyjnych i incydentu regulacyjnego.

Rekomendacje operacyjne / co zrobić teraz

Twarde minimum (szybkie wygrane):

• Wyłącz SSH password auth i przejdź na klucze (a tam gdzie ma sens: dodatkowa warstwa MFA/bastion/VPN).
• Wprowadź rate-limiting / banowanie brute force (np. fail2ban, ograniczenia na firewallu, port-knocking w specyficznych przypadkach).
• Ogranicz ekspozycję portu 22: allow-list, dostęp tylko z sieci zarządzającej, jump-hosty.

Detekcja i monitoring (pod SSHStalker):

• Alarmuj na instalację/uruchomienie kompilatorów (gcc/make) na serwerach produkcyjnych, szczególnie z /tmp, /dev/shm, katalogów użytkowników.
• Wykrywaj cron jobs co minutę oraz wpisy tworzone poza CM (Ansible/Puppet itp.).
• Monitoruj outbound pod kątem IRC handshake / długich połączeń TCP do nietypowych hostów oraz kanałów czatu/relay.

Utrudnianie życia atakującym:

• Egress filtering „default deny” dla serwerów, które nie muszą wychodzić w internet (lub bardzo restrykcyjna lista).
• Jeśli możesz: usuń toolchain z obrazów produkcyjnych i uruchamiaj build tylko w kontrolowanych pipeline’ach.
• Zadbaj o aktualizacje kernela i eliminację legacy systemów — to bezpośrednio obcina wektor eskalacji.

Różnice / porównania z innymi przypadkami

• Nowoczesne C2 vs IRC: IRC jest „proste”, ale odporne i tanie; przy odpowiedniej redundancji nie musi być wyszukane, żeby było skuteczne.
• „Stealth-first” vs „scale-first”: SSHStalker jest opisywany jako głośny, nastawiony na masówkę i automatyzację, a nie na APT-ową dyskrecję. To zmienia priorytety obrony: większą wartość mają limity, segmentacja i higiena SSH niż polowanie na ultra-zaawansowane TTP.
• Podobieństwa do Outlaw/Maxlas: są podobne artefakty/„klimat” kampanii, ale bez jednoznacznej atrybucji – co jest typowe w świecie botnetów Linuksowych, gdzie kit i infrastruktura bywają recyklingowane.

Podsumowanie / najważniejsze wnioski

SSHStalker pokazuje, iż „stare” techniki (IRC, cron co minutę, zestawy exploitów sprzed ~15 lat) przez cały czas mają sens, gdy celem jest duża skala i trafianie w długi ogon słabo utrzymanych serwerów. Priorytetem dla obrony powinny być: twarde ustawienia SSH, ograniczenie ekspozycji, monitoring uruchamiania kompilatorów i wykrywanie nietypowych połączeń wychodzących (zwłaszcza „chat/relay” z serwerów).

Źródła / bibliografia

1. Flare – „Old-School IRC, New Victims: Inside the Newly Discovered SSHStalker Linux Botnet” (flare.io)
2. BleepingComputer – „New Linux botnet SSHStalker uses old-school IRC for C2 comms” (BleepingComputer)
3. SecurityWeek – „New ‘SSHStalker’ Linux Botnet Uses Old Techniques” (SecurityWeek)