A botnet SSHStalker, recentemente documentada, utiliza o protocolo IRC (Internet Relay Chat) para suas operações de comando e controle (C2). Embora o IRC tenha sido criado em 1988 e tenha alcançado seu auge nos anos 90, ele ainda é valorizado por sua simplicidade e baixo consumo de banda. A SSHStalker adota mecânicas clássicas do IRC, como múltiplos bots e redundância de servidores e canais, priorizando resiliência e baixo custo em vez de furtividade. A botnet consegue acesso inicial por meio de varreduras automatizadas de SSH e força bruta, utilizando um binário em Go que se disfarça como o utilitário de descoberta de rede nmap. Após infectar um host, a botnet baixa ferramentas para compilar cargas úteis, permitindo uma melhor portabilidade. A persistência é garantida por meio de cron jobs que verificam a execução do processo principal a cada 60 segundos. A SSHStalker também inclui capacidades de mineração de criptomoedas e coleta de chaves AWS, embora ainda não tenha sido observada a realização de ataques DDoS. A empresa de inteligência de ameaças Flare sugere que as organizações implementem soluções de monitoramento e restrinjam a autenticação por senha SSH para mitigar os riscos associados a essa botnet.
Fonte: https://www.bleepingcomputer.com/news/security/new-linux-botnet-sshstalker-uses-old-school-irc-for-c2-comms/
⚠️BR DEFENSE CENTER: SECURITY BRIEFING
11/02/2026 • Risco: ALTO
MALWARE
Nova botnet Linux SSHStalker utiliza IRC para operações de C2
RESUMO EXECUTIVO
A botnet SSHStalker representa uma ameaça significativa para organizações que utilizam SSH, especialmente em ambientes de nuvem. Com a exploração de CVEs antigas e a coleta de chaves AWS, as empresas devem estar atentas às suas práticas de segurança e considerar a implementação de medidas de mitigação imediatas.
💼 IMPACTO DE NEGÓCIO
Financeiro
Potenciais perdas financeiras devido a compromissos de segurança e exploração de dados.
Operacional
Coleta de chaves AWS e potencial para mineração de criptomoedas.
Setores vulneráveis
['Tecnologia da Informação', 'Serviços em Nuvem', 'Financeiro']
📊 INDICADORES CHAVE
Quase 7.000 varreduras de bots realizadas em janeiro.
Indicador
Exploração de 16 CVEs direcionadas a versões do kernel Linux de 2009-2010.
Contexto BR
Uso de cron jobs a cada 60 segundos para persistência.
Urgência
⚡ AÇÕES IMEDIATAS
1
Verificar a presença de ferramentas de compilação em servidores de produção.
2
Desabilitar a autenticação por senha SSH e remover compiladores de imagens de produção.
3
Monitorar conexões de saída estilo IRC e cron jobs com ciclos de execução curtos.
🇧🇷 RELEVÂNCIA BRASIL
CISOs devem se preocupar com a possibilidade de compromissos em servidores críticos e a exploração de vulnerabilidades conhecidas.
⚖️ COMPLIANCE
Implicações para a LGPD, especialmente em relação à proteção de dados e segurança da informação.
Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).
