Alerta sobre la botnet SSHStalker que utiliza IRC para controlar sistemas Linux
Publicado el
Introducción a SSHStalker
Recientemente, se han difundido detalles sobre SSHStalker, una botnet que utiliza el protocolo de chat de Internet Relay Chat (IRC) para su comunicación de comando y control (C2). Esta botnet combina herramientas de sigilo con técnicas de explotación de versiones antiguas de Linux, lo que la convierte en una amenaza significativa para infraestructuras obsoletas.
Características de la Botnet
Según la empresa de ciberseguridad Flare, SSHStalker incorpora herramientas que van desde limpiadores de logs hasta artefactos de rootkit. La botnet hace uso de un amplio catálogo de exploits de Linux de la era 2.6.x, abarcando vulnerabilidades registradas entre 2009 y 2010. Aunque estas técnicas pueden parecer de bajo valor frente a las arquitecturas modernas, son efectivas para sistemas de infraestructura olvidados o entornos legados.
SSHStalker combina mecánicas típicas de botnets con una operación automatizada de compromiso masivo. Utiliza un escáner SSH y otros escáneres disponibles públicamente para infectar sistemas vulnerables e inscribirlos en canales IRC. A diferencia de otras campañas que emplean botnets para ataques oportunistas como DDoS, proxyjacking o minería de criptomonedas, SSHStalker mantiene un acceso persistente sin llevar a cabo actividades post-explotación.
Métodos de Ataque
Un componente clave de SSHStalker es un escáner desarrollado en Golang que busca servidores con el puerto 22 abierto, permitiendo una expansión rápida a modo de gusano. Entre los payloads que despliega se encuentran variantes de un bot controlado por IRC y un bot basado en Perl que se conecta a un servidor IRC de UnrealIRCd, donde se une a un canal de control y espera órdenes para realizar ataques de tipo flood y gestionar otros bots.
Además, la botnet ejecuta archivos en C para limpiar los logs de conexiones SSH y eliminar rastros de actividad maliciosa, lo que reduce la visibilidad forense. También cuenta con un componente de "keep-alive" que asegura que el proceso principal del malware se reinicie en un plazo de 60 segundos si es detenido por alguna herramienta de seguridad.
Vulnerabilidades Explotadas
SSHStalker destaca por automatizar el compromiso masivo mediante un catálogo que incluye 16 vulnerabilidades distintas que afectan al kernel de Linux, algunas de las cuales datan de 2009. Las vulnerabilidades utilizadas en su módulo de explotación incluyen CVE-2009-2692, CVE-2009-2698, CVE-2010-3849, entre otras.
La investigación de Flare sobre la infraestructura de staging asociada con este actor de amenazas ha revelado un extenso repositorio de herramientas ofensivas de código abierto, así como muestras de malware previamente publicadas. Esto incluye rootkits para facilitar el sigilo y la persistencia, mineros de criptomonedas y un script en Python que ejecuta un binario llamado "website grabber" para robar secretos de Amazon Web Services (AWS) expuestos en sitios web.
Posible Origen del Actor de Amenaza
Se sospecha que el actor detrás de SSHStalker podría tener origen rumano, dado el uso de apodos, patrones de jerga y convenciones de nombres típicos de esa región en los canales IRC y listas de configuración. Además, la huella operativa presenta fuertes similitudes con un grupo de hacking conocido como Outlaw (también conocido como Dota).
Conclusiones
SSHStalker no parece centrarse en el desarrollo de nuevos exploits, sino que demuestra un control operativo mediante una implementación y orquestación maduras. Utiliza principalmente C para componentes centrales del bot y bajo nivel, shell para la orquestación y persistencia, y un uso limitado de Python y Perl para tareas de utilidad dentro de la cadena de ataque. Este enfoque pone de relieve la disciplina operativa del actor en flujos de compromiso masivo, reciclaje de infraestructura y persistencia a largo plazo en entornos Linux heterogéneos.