O SSHStalker, uma nova botnet Linux, utiliza o protocolo IRC (Internet Relay Chat) para gerenciar suas operações, explorando servidores em nuvem para fins lucrativos. O protocolo, criado em 1988, foi revitalizado por essa botnet, que se destaca por sua estrutura de múltiplos bots e canais redundantes, permitindo controle eficiente sobre dispositivos infectados. A infecção inicial ocorre por meio de ataques automatizados de força bruta via SSH, com a botnet se espalhando rapidamente por infraestruturas de servidores em nuvem, como as da Oracle. Após comprometer um host, o malware baixa um compilador GCC para construir cargas úteis diretamente no sistema, garantindo a execução confiável dos bots em diversas distribuições Linux. Além disso, a botnet coleta chaves da AWS, realiza varreduras de sites e possui capacidades de mineração de criptomoedas. Embora existam capacidades de DDoS, não foram observados ataques, sugerindo que a botnet pode estar em fase de testes. Para mitigar os riscos, recomenda-se monitorar instalações de compiladores, atividades incomuns em cron e conexões de saída no estilo IRC, além de desabilitar a autenticação por senha SSH e aplicar filtragem rigorosa de saída.
Fonte: https://www.techradar.com/pro/does-anyone-even-remember-irc-a-new-linux-botnet-uses-some-incredibly-old-school-methods-to-cut-costs
⚠️BR DEFENSE CENTER: SECURITY BRIEFING
15/02/2026 • Risco: ALTO
MALWARE
O antigo protocolo IRC retorna com a botnet SSHStalker
RESUMO EXECUTIVO
O SSHStalker representa uma ameaça significativa para servidores Linux, utilizando técnicas de exploração conhecidas e potencialmente comprometendo dados sensíveis. A botnet é capaz de realizar mineração de criptomoedas e coletar chaves de acesso, o que pode resultar em perdas financeiras e riscos de conformidade.
💼 IMPACTO DE NEGÓCIO
Financeiro
Possíveis perdas financeiras devido à exploração de dados e custos de mitigação.
Operacional
Comprometimento de servidores e potencial para mineração de criptomoedas.
Setores vulneráveis
['Tecnologia', 'Serviços em nuvem', 'Financeiro']
📊 INDICADORES CHAVE
Quase 7.000 resultados de escaneamento em um mês.
Indicador
Exploração de 16 CVEs antigos do kernel Linux.
Contexto BR
Capacidades de mineração de criptomoedas via PhoenixMiner.
Urgência
⚡ AÇÕES IMEDIATAS
1
Verificar a presença de compiladores GCC e atividades de cron incomuns.
2
Desabilitar a autenticação por senha SSH e aplicar filtragem de saída rigorosa.
3
Monitorar conexões de saída no estilo IRC e atividades de instalação de software.
🇧🇷 RELEVÂNCIA BRASIL
CISOs devem se preocupar com a exploração de servidores Linux, que são comuns em ambientes corporativos, e a possibilidade de comprometimento de dados sensíveis.
⚖️ COMPLIANCE
Implicações para a LGPD em relação à proteção de dados pessoais.
Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).
