Новое ботнет-семейство SSHStalker использует старые уязвимости и IRC для атак на устаревшие Linux-системы

Ключевой особенностью SSHStalker является его опора на классическую, "старую школу" механики IRC-ботнетов. В основе управления лежит протокол Internet Relay Chat, при этом используются несколько вариантов ботов на языке C, а также бот на Perl, вредоносные программы Tsunami и Keiten, а также резервирование по нескольким серверам и каналам. Такой выбор указывает на то, что злоумышленники отдают приоритет устойчивому и недорогому управлению, а не современным сложным системам командования и управления.

Кампания представляет собой автоматизированный конвейер массовой компрометации. Он объединяет сканер SSH, написанный на Go и имитирующий nmap, с быстрым развертыванием через установку GCC и компиляцию кода на лету, а также использует сканеры других разработчиков. Все это обеспечивает автоматическое подключение скомпрометированных систем к IRC-каналам, что характерно для оператора, оптимизирующего свою деятельность для масштабирования и повторяемости.

Механизмы обеспечения устойчивости и восстановления работы ботнета являются очень шумными, но эффективными. Набор инструментов использует простой метод персистентности через cron-задание, выполняемое каждую минуту, вместе с моделью перезапуска по принципу "сторожевого пса". Это означает, что защитники могут нарушить его работу, но должны действовать комплексно, иначе бот вернется в течение примерно 60 секунд.

Инструментарий SSHStalker сочетает скрытные утилиты с эксплойтами эпохи 2000-х годов для Linux. Помимо средств очистки логов и артефактов уровня руткитов, злоумышленник хранит большой архив эксплойтов для ядра Linux версий 2.6.x, связанных с уязвимостями 2009-2010 годов. Хотя их ценность против современных систем невелика, они остаются эффективными против "забытой" инфраструктуры и устаревших сред с длительным жизненным циклом.

Анализ выявил сильное сходство экосистемы с методами операций типа Outlaw/Maxlas, но без четкой атрибуции. Структура файлов, цепочки выполнения, подключение к IRC и шаблоны персистентности напоминают известные операции Linux-ботнетов, связываемые с румынскими хакерами. Однако прямых идентификаторов Outlaw/Dota не найдено, что позволяет предположить деятельность производного оператора, подражателя или смежной группы, а не подтвержденную активность самой Outlaw.

Операция начинается с размещения бинарного файла с именем nmap, который на самом деле является сканером на Go, ищущим серверы с открытым SSH-портом. Затем загружаются два C-файла, которые представляют собой классические IRC-боты, подключающиеся к разным серверам управления. Далее распаковывается архив GS, содержащий набор скриптов и утилит для обеспечения персистентности, очистки логов и поддержания связи с IRC. Еще один архив, bootbou.tgz, устанавливает cron-задание для ежеминутного перезапуска основного процесса, обеспечивая высокую живучесть ботнета.

Инфраструктура злоумышленника включает сервер, на котором хранится обширный набор инструментов. Среди них 77 файлов, связанных с IRC-ботнетами, и утилиты для сканирования SSH. Особенно примечателен обнаруженный файл с почти 7000 результатами сканирования SSH, датированными январем 2026 года. Цели в основном связаны с облачными хостинг-провайдерами, в частности с инфраструктурой Oracle Cloud. Это указывает на использование автоматизации для поиска уязвимых систем.

Арсенал эксплойтов включает 81 артефакт, охватывающий 16 различных уязвимостей CVE, нацеленных на ядро Linux версий 2.6.x. Хотя эти уязвимости в основном устарели для современных систем, они представляют угрозу для серверов с устаревшим программным обеспечением. Также в наборе обнаружено пять артефактов класса руткитов и инструменты для майнинга криптовалют, что указывает на финансовую мотивацию.

Наблюдение за IRC-каналами, связанными с инфраструктурой, показало, что они размещены в публичной сети и выглядят легитимно. Активного управления ботами или общения операторов зафиксировано не было, что может говорить о стадии подготовки или использовании легитимной экосистемы для маскировки.

Лингвистический анализ выявил артефакты на русском, китайском, немецком и французском языках, но они были заимствованы из публичных источников. При этом румынские артефакты, сленг и шаблоны имен в конфигурационных файлах и IRC-каналах, не встречающиеся в других местах, указывают на возможную связь с румынскими хакерскими группами. Однако отсутствие прямых ссылок на известные семьи, такие как Outlaw, позволяет считать SSHStalker отдельной, возможно, производной операцией.

Для обнаружения активности SSHStalker специалисты рекомендуют мониторить выполнение компиляторов на рабочих серверах, подозрительные исходящие TCP-соединения, характерные для IRC, cron-задания, выполняемые каждую минуту, и попытки модификации системных логов. В целях смягчения угрозы следует отключить аутентификацию по паролю для SSH, использовать только ключевую аутентификацию, ограничить доступ к SSH, по возможности удалить компиляторы из производственных образов и внедрить фильтрацию исходящего трафика.

IPv4

• 154.35.175.201
• 172.83.156.122
• 185.243.218.59
• 199.71.214.87
• 23.228.66.219
• 64.227.142.133
• 94.125.182.255

Domains

• gsm.ftp.sh
• irc.undernet.org
• plm.ftp.sh

MD5

• 077cdcbe6c1bf4a0f4bc81feaf283be3
• 0d01bd11d1d3e7676613aacb109de55f
• 1d4c9039ca7e0b3e93c708f5d02f92a0
• 1e288bb6920d9cf07d0e5dbc8614469d
• 26ad93d703a565a2642c422b2434fc78
• 2b31ba929f3e4f8e8c84b3815b0e4909
• 32ee52b2918e06e3925eaccb0bea2d66
• 3b64c2ecd7ea152f9d4af9d0461db265
• 4777d24c864c04a6bfabb836811edf2d
• 4c3d248b1fc8d4963ebdded4aecfcb8e
• 5b9d4ff6a89da88dcf1d7d04b6d1e976
• 6ca73134ee02fb373ebaf9321b9840c8
• 70677ce8be9ebc5f81c299f753b98d66
• 88a31724d376ba7ac8ce5c10f97da83d
• 94e513b01f26399ae16ac91b50fde268
• 98f1ac9c9baf2562eb00b7d4f89dc0dc
• a24cabef282713b6c0e3f9c3efdabd91
• a8d19e08aa022bacd8a76777874fad8a
• f8f76d8772f07b716913ba85f3af8380
• fb2ddb699bed59ff420b43f5640e7e0c
• fd55f0754084ba041539bb469f06a83d