top of page

Nova botnet invade servidores Linux usando falhas antigas

  • Foto do escritor: Cyber Security Brazil
    Cyber Security Brazil
  • há 35 minutos
  • 3 min de leitura

Uma nova operação de botnet batizada de SSHStalker chamou a atenção da comunidade de segurança ao combinar técnicas clássicas com uma execução operacional altamente disciplinada. A campanha utiliza o protocolo IRC (Internet Relay Chat) como canal de comando e controle (C2), além de explorar vulnerabilidades antigas do kernel Linux algumas datadas de 2009 e 2010 para comprometer servidores desatualizados.


A análise conduzida pela empresa Flare revela que o grupo por trás da operação mantém um vasto arsenal de exploits voltados para versões Linux 2.6.x. Embora essas falhas tenham pouco impacto em ambientes modernos devidamente atualizados, elas continuam eficazes contra infraestruturas legadas e sistemas esquecidos um cenário ainda comum em ambientes corporativos e servidores expostos na internet.


Como o SSHStalker funciona


O SSHStalker combina a mecânica tradicional de botnets baseadas em IRC com uma operação automatizada de comprometimento em massa. Um dos principais componentes é um scanner desenvolvido em Golang, projetado para varrer a porta 22 (SSH) em busca de servidores expostos. Ao identificar um alvo vulnerável, o malware instala diferentes cargas maliciosas e integra o sistema comprometido a canais de IRC controlados pelo invasor.


Diferente de campanhas convencionais que utilizam botnets para ataques DDoS, mineração de criptomoedas ou proxyjacking, o SSHStalker apresenta um comportamento incomum: após a invasão, ele permanece “adormecido”. Não há atividades evidentes de pós-exploração imediata. Essa persistência silenciosa sugere que a infraestrutura comprometida pode estar sendo preparada para uso estratégico futuro, seja para testes, movimentação lateral ou ataques coordenados em larga escala.


Entre os recursos identificados estão:


  • Rootkits para garantir furtividade e persistência;

  • Mineradores de criptomoedas;


Script em Python capaz de executar um binário chamado “website grabber”, utilizado para roubar credenciais expostas da Amazon Web Services (AWS);


O bot EnergyMech, que fornece capacidades de execução remota de comandos via IRC.


Técnicas de evasão e persistência


A botnet também executa programas em C voltados para limpar registros de conexão SSH (utmp, wtmp e lastlog), reduzindo a visibilidade forense. Além disso, conta com um mecanismo de “keep-alive” que reinicia automaticamente o malware em até 60 segundos caso ele seja encerrado por ferramentas de segurança.


O módulo de exploração inclui pelo menos 16 vulnerabilidades distintas do kernel Linux, entre elas:


  • CVE-2009-2692

  • CVE-2009-2698

  • CVE-2010-3849

  • CVE-2010-1173


Essas falhas são consideradas antigas, mas ainda representam risco significativo em ambientes que não aplicam atualizações de segurança de forma consistente.


Origem e perfil do grupo hacker


Indícios encontrados nos canais de IRC e em listas de configuração sugerem que o grupo possa ter origem romena, com base em padrões linguísticos e apelidos utilizados. A investigação também aponta semelhanças operacionais com o grupo hacker conhecido como Outlaw (também chamado de Dota).


Segundo a análise técnica, o grupo não demonstra foco em desenvolvimento de exploits inéditos ou zero-days. Em vez disso, aposta em disciplina operacional, automação em larga escala e reutilização de infraestrutura. A base do malware utiliza linguagem C para os componentes principais, shell scripts para orquestração e persistência, além de Python e Perl para tarefas auxiliares dentro da cadeia de ataque.


O que esse caso revela


O caso do SSHStalker reforça uma lição importante: ameaças sofisticadas nem sempre dependem de falhas novas ou técnicas inovadoras. Muitas vezes, a exploração eficiente de vulnerabilidades antigas, combinada com automação e organização operacional, é suficiente para criar uma rede de acesso persistente e potencialmente perigosa.


Ambientes Linux expostos, especialmente aqueles baseados em versões antigas do kernel, continuam sendo alvos prioritários. A ausência de atividade visível após o comprometimento torna a detecção ainda mais complexa, ampliando o risco estratégico para organizações que não mantêm uma política rigorosa de atualização e monitoramento.

 
 
Cópia de Cyber Security Brazil_edited.jpg

Cyber Security Brazil desde 2021, atuamos como referência nacional em segurança digital, oferecendo informação confiável, conteúdo especializado e fortalecendo o ecossistema de cibersegurança no Brasil.

Institucional

contato@cybersecbrazil.com.br

(11)97240-7838

INSCREVA SEU EMAIL PARA RECEBER

ATUALIZAÇÕES, POSTS E NOVIDADES

  • RSS
  • Instagram
  • LinkedIn

© 2025 Todos os direitos reservados a Cyber Security Brazil

bottom of page