CibersegurançaNotícias

Botnet SSHStalker usa IRC para atacar servidores Linux em massa

A botnet SSHStalker mostra que até tecnologias antigas podem impulsionar ataques modernos contra servidores Linux.

Escrito por
Jardeson Márcio
Imagem do autor do SempreUpdate Jardeson Márcio
PorJardeson Márcio
Jardeson Márcio é Jornalista e Mestre em Tecnologia Agroalimentar pela Universidade Federal da Paraíba. Com 8 anos de experiência escrevendo no SempreUpdate, Jardeson é um especialista...
Follow:
Dispositivos DVR TBK vulneráveis explorados por botnet Mirai através da falha CVE-2024-3721

Como uma ameaça moderna pode usar ferramentas de 30 anos atrás para comprometer servidores atuais? A resposta está na botnet SSHStalker, uma campanha recente que demonstra como tecnologias consideradas ultrapassadas ainda podem ser extremamente eficazes quando combinadas com automação e escala.

A botnet SSHStalker chamou a atenção de pesquisadores após uma análise conduzida pela empresa de segurança Flare, que identificou um ecossistema de ataque focado em volume, não necessariamente em furtividade. Em vez de explorar apenas vulnerabilidades sofisticadas, os operadores priorizam comprometer o maior número possível de servidores Linux.

Um dos aspectos mais curiosos da operação é o uso do protocolo IRC como estrutura de comando e controle (C2). Embora seja uma tecnologia antiga, ela continua funcional, resiliente e difícil de eliminar completamente. O foco da campanha inclui ambientes de nuvem, com destaque para infraestruturas como a Oracle Cloud, onde recursos mal configurados podem ser rapidamente transformados em nós da botnet.

Para administradores e profissionais de segurança Linux, o caso serve como alerta: ameaças modernas nem sempre dependem de técnicas inéditas. Muitas vezes, elas apenas reutilizam estratégias antigas com eficiência renovada.

Como a SSHStalker invade e se propaga nos sistemas

O vetor principal da botnet SSHStalker é simples, porém eficaz: ataques SSH de força bruta. A campanha automatiza tentativas de login contra servidores expostos à internet, explorando credenciais fracas ou reutilizadas.

Uma vez que o acesso é obtido, o malware instala um binário escrito na linguagem Go, frequentemente disfarçado como ferramentas legítimas, como o nmap. Esse tipo de camuflagem reduz suspeitas iniciais, especialmente em ambientes onde múltiplas ferramentas de diagnóstico são comuns.

Depois da infecção, entra em ação um comportamento típico de worm. O host comprometido passa a escanear outros sistemas acessíveis, repetindo o processo de tentativa de login e instalação do payload. Esse efeito cascata permite que a botnet cresça rapidamente, transformando cada vítima em um novo agente de propagação.

novo-malware-condi-sequestra-roteadores-wi-fi-tp-link-para-ataques-de-botnet-ddos

Compilação local: Uma tática de evasão astuta

Um dos detalhes técnicos mais interessantes é o uso do GCC para compilar partes do malware diretamente dentro da máquina comprometida.

Essa abordagem oferece duas vantagens estratégicas:

  • Reduz a necessidade de transferir binários suspeitos pela rede.
  • Dificulta a detecção por soluções que analisam arquivos conhecidos.
  • Permite adaptar o payload ao ambiente da vítima.

A compilação local mostra que os operadores da botnet SSHStalker não dependem apenas de automação massiva, mas também incorporam técnicas inteligentes de evasão.

O retorno do IRC e a infraestrutura de comando

Em uma era dominada por APIs criptografadas e frameworks complexos de C2, por que recorrer ao protocolo IRC botnet?

A escolha parece ser pragmática.

O IRC oferece:

  • Simplicidade de implementação
  • Baixo custo operacional
  • Facilidade de replicação
  • Grande tolerância a falhas

Além disso, bloquear completamente o IRC pode ser inviável em algumas redes, principalmente quando o tráfego é misturado com comunicações legítimas.

Os operadores da botnet SSHStalker também utilizam redundância, distribuindo conexões entre múltiplos canais e servidores. Caso um ponto seja derrubado, os bots podem migrar rapidamente para outro, mantendo a operação ativa.

Essa estratégia reforça uma lição importante em segurança Linux: nem sempre o maior risco vem da tecnologia mais nova, mas da combinação entre estabilidade e escala.

Persistência, privilégios e exploração de vulnerabilidades antigas

Após garantir presença no sistema, o malware trabalha para permanecer invisível o máximo possível.

Uma das técnicas observadas envolve a criação de tarefas cron executadas a cada minuto. Esse mecanismo garante que, mesmo se parte do malware for removida, ela possa ser reinstalada automaticamente.

Outro ponto preocupante é o uso de 16 CVEs datadas entre 2009 e 2010 para escalonamento de privilégios. Embora antigas, essas falhas ainda existem em servidores desatualizados ou mal mantidos.

Esse comportamento evidencia um padrão recorrente em malware Linux 2026: explorar o enorme número de sistemas que continuam vulneráveis por falta de patching.

Em outras palavras, não é necessário um zero-day quando há milhares de servidores rodando kernels e pacotes antigos.

O objetivo final: Mineração de cripto e roubo de credenciais

Depois de estabelecer controle total da máquina, a monetização começa.

A botnet SSHStalker instala o PhoenixMiner, tradicionalmente associado à mineração de Ethereum e outras criptomoedas compatíveis. O impacto imediato é o consumo excessivo de CPU e energia, degradando a performance do servidor e elevando custos operacionais, especialmente em ambientes de nuvem.

Mas a mineração não é o único objetivo.

Pesquisadores também identificaram rotinas voltadas à coleta de credenciais, incluindo chaves da AWS armazenadas localmente. Esse tipo de acesso pode abrir portas para ataques muito maiores, como comprometimento de infraestrutura, exfiltração de dados e movimentação lateral.

Para equipes de segurança, isso transforma uma simples infecção em um potencial incidente crítico.

Como proteger seu servidor Linux contra o SSHStalker

Diante de ameaças como a botnet SSHStalker, a prevenção continua sendo a melhor defesa. Algumas medidas podem reduzir drasticamente a superfície de ataque:

  • Desative autenticação por senha no SSH e utilize apenas chaves criptográficas.
  • Adote autenticação multifator sempre que possível.
  • Limite o acesso SSH por IP ou via VPN.
  • Remova compiladores como o GCC de ambientes de produção quando não forem necessários.
  • Monitore tarefas cron incomuns ou recém-criadas.
  • Mantenha o sistema e o kernel atualizados para evitar exploração de CVEs antigas.
  • Utilize ferramentas de detecção de intrusão e análise de logs.
  • Observe picos inesperados de CPU, que podem indicar mineração oculta.

Pequenos ajustes de configuração frequentemente impedem ataques automatizados antes mesmo que eles comecem.

Conclusão

A ascensão da botnet SSHStalker reforça uma verdade conhecida pelos profissionais de segurança Linux: ataques bem-sucedidos raramente dependem apenas de inovação, mas sim da exploração consistente de erros básicos.

O uso do protocolo IRC mostra que tecnologias antigas continuam relevantes quando oferecem confiabilidade e baixo atrito operacional. Já a exploração de vulnerabilidades históricas revela que a atualização de sistemas ainda é um dos pilares mais importantes da defesa cibernética.

Se há uma lição clara, é esta: manter servidores atualizados, restringir acessos e monitorar atividades suspeitas não são apenas boas práticas, mas necessidades contínuas.

Agora é um bom momento para revisar seus logs de autenticação, verificar políticas de acesso e garantir que sua infraestrutura não esteja contribuindo, sem saber, para o crescimento de uma botnet. Se este conteúdo foi útil, compartilhe com sua equipe ou colegas da área para ampliar a conscientização.

TAGS:
Compartilhe este artigo

Leia também

Posts sobre o mesmo assunto