Sshstalker

A botnet SSHStalker, recentemente documentada, utiliza o protocolo IRC (Internet Relay Chat) para suas operações de comando e controle (C2). Embora o IRC tenha sido criado em 1988 e tenha alcançado seu auge nos anos 90, ele ainda é valorizado por sua simplicidade e baixo consumo de banda. A SSHStalker adota mecânicas clássicas do IRC, como múltiplos bots e redundância de servidores e canais, priorizando resiliência e baixo custo em vez de furtividade. A botnet consegue acesso inicial por meio de varreduras automatizadas de SSH e força bruta, utilizando um binário em Go que se disfarça como o utilitário de descoberta de rede nmap. Após infectar um host, a botnet baixa ferramentas para compilar cargas úteis, permitindo uma melhor portabilidade. A persistência é garantida por meio de cron jobs que verificam a execução do processo principal a cada 60 segundos. A SSHStalker também inclui capacidades de mineração de criptomoedas e coleta de chaves AWS, embora ainda não tenha sido observada a realização de ataques DDoS. A empresa de inteligência de ameaças Flare sugere que as organizações implementem soluções de monitoramento e restrinjam a autenticação por senha SSH para mitigar os riscos associados a essa botnet.