Red de bots SSHStalker
Analistas de ciberseguridad han descubierto una operación de botnet conocida como SSHStalker, que utiliza el protocolo Internet Relay Chat (IRC) para comunicaciones de Comando y Control (C2). Al combinar la mecánica tradicional de botnets IRC con técnicas automatizadas de ataque masivo, esta campaña refleja un enfoque calculado y metódico para la infiltración de infraestructuras.
A diferencia de las botnets modernas que priorizan la monetización rápida, SSHStalker enfatiza la persistencia y la expansión controlada, lo que indica un objetivo potencialmente estratégico en lugar de una ganancia financiera inmediata.
Tabla de contenido
Estrategia de explotación: Apuntando a lo olvidado y a lo que no tiene parches
La base de SSHStalker es su enfoque deliberado en sistemas Linux heredados. El kit de herramientas incorpora una colección de 16 vulnerabilidades del kernel de Linux, muchas de ellas de 2009 y 2010. Si bien son en gran medida ineficaces contra sistemas actuales con parches completos, estos exploits siguen siendo viables contra infraestructuras obsoletas o descuidadas.
Las vulnerabilidades destacadas explotadas en la campaña incluyen CVE-2009-2692, CVE-2009-2698, CVE-2010-3849, CVE-2010-1173, CVE-2009-2267, CVE-2009-2908, CVE-2009-3547, CVE-2010-2959 y CVE-2010-3437. Esta dependencia de vulnerabilidades antiguas demuestra una estrategia pragmática: explotar entornos heredados de larga duración que a menudo escapan a la supervisión de seguridad moderna.
Expansión similar a un gusano mediante la automatización de SSH
SSHStalker integra funciones de escaneo automatizado para ampliar su alcance. Un escáner basado en Golang sondea activamente el puerto 22 para identificar sistemas que exponen servicios SSH. Una vez descubiertos, los hosts vulnerables se ven comprometidos y se registran en canales IRC, expandiendo la botnet de forma similar a un gusano.
Durante la infección se despliegan varias cargas útiles, incluyendo variantes de un bot controlado por IRC y un bot de archivos basado en Perl. Estos componentes se conectan a un servidor UnrealIRCd, se unen a los canales de control designados y esperan instrucciones. La infraestructura permite ataques de tráfico coordinados de tipo inundación y la gestión centralizada de bots.
A pesar de estas capacidades, la campaña se abstiene notablemente de participar en actividades comunes de monetización posteriores a la explotación, como ataques distribuidos de denegación de servicio (DDS), proxyjacking o minería de criptomonedas. En cambio, los sistemas comprometidos permanecen prácticamente inactivos, manteniendo el acceso persistente. Esta postura operativa restringida sugiere posibles casos de uso como la puesta en escena, la retención de acceso o futuras operaciones coordinadas.
Sigilo, persistencia y antiforense
El sigilo operativo es una característica distintiva de SSHStalker. El malware implementa utilidades de limpieza de registros que manipulan los registros utmp, wtmp y lastlog para ocultar el acceso SSH no autorizado. Se ejecutan programas C personalizados para eliminar rastros de actividad maliciosa de los registros del sistema, lo que reduce la visibilidad forense.
Para garantizar la resiliencia, el kit de herramientas incluye un mecanismo de mantenimiento de la actividad, diseñado para reiniciar el proceso principal de malware en 60 segundos si se interrumpe. Esta estrategia de persistencia refuerza la durabilidad de la presencia en entornos comprometidos.
Infraestructura de preparación y arsenal de herramientas ofensivas
El análisis de la infraestructura de pruebas asociada ha revelado un amplio repositorio de herramientas ofensivas y malware previamente documentado. El conjunto de herramientas incluye:
- Rootkits diseñados para mejorar el sigilo y mantener la persistencia
- Mineros de criptomonedas
- Un script de Python que ejecuta un binario llamado 'website grabber' para recopilar credenciales de Amazon Web Services (AWS) expuestas de sitios web vulnerables
- EnergyMech, un bot de IRC que permite el comando y control, y la ejecución remota de comandos.
Esta colección destaca un marco operativo flexible capaz de adaptarse a múltiples objetivos de ataque.
Pistas de atribución y superposición operativa
Los indicadores en los canales de IRC y las listas de palabras de configuración sugieren un posible origen rumano, incluyendo la presencia de apodos y jerga de origen rumano. Además, las características operativas coinciden significativamente con las del grupo de hackers Outlaw (también conocido como Dota), lo que indica una posible afiliación o una estrategia compartida.
Orquestación madura por encima de explotación novedosa
SSHStalker no se basa en vulnerabilidades de día cero ni en el desarrollo innovador de rootkits. En cambio, la campaña demuestra un control operativo riguroso y una orquestación eficaz. El bot principal y los componentes de bajo nivel están escritos principalmente en C, con scripts de shell que gestionan la persistencia y la automatización. Python y Perl se utilizan selectivamente para funciones de utilidad y tareas de soporte dentro de la cadena de infección.
Esta campaña ejemplifica un flujo de trabajo estructurado y escalable de compromiso masivo que prioriza el reciclaje de infraestructura, la automatización y la persistencia a largo plazo en diversos entornos Linux. Más que en la innovación, su fortaleza reside en la ejecución, la coordinación y la explotación estratégica de sistemas desatendidos.
