SSHStalker: La botnet que revive tácticas de la "vieja escuela" para secuestrar miles de servidores Linux

Investigadores de seguridad alertan sobre una nueva operación que utiliza protocolos IRC de hace décadas y exploits antiguos para comprometer infraestructura "olvidada" en la nube.

En un giro inesperado que demuestra que lo antiguo no siempre es inofensivo, expertos en ciberseguridad de la firma Flare han revelado detalles de SSHStalker, una botnet emergente que ha logrado infectar aproximadamente a 7,000 sistemas Linux en todo el mundo. Su particularidad radica en el uso de técnicas de control heredadas de la era de los años 2000, combinadas con una persistencia silenciosa y letal.

Tácticas del pasado, víctimas del presente

A diferencia de las amenazas modernas que suelen emplear canales de comunicación cifrados y complejos, SSHStalker utiliza el protocolo IRC (Internet Relay Chat) para sus funciones de Comando y Control (C2). Esta es una técnica clásica de las botnets de hace 20 años que, aunque fácil de detectar en redes monitoreadas, sigue siendo efectiva contra servidores desactualizados.

El informe técnico destaca que el arsenal de SSHStalker incluye una colección de exploits para el kernel de Linux (versiones 2.6.x) que datan de 2009 y 2010. Aunque estas vulnerabilidades (CVEs) carecen de valor contra sistemas modernos, resultan extremadamente eficaces contra la "infraestructura olvidada": instancias en la nube abandonadas, servidores legados y entornos que ya no reciben mantenimiento ni supervisión.

El ciclo del ataque: De la intrusión al borrado de huellas

La operación de SSHStalker es metódica y automatizada:

1. Escaneo masivo: Utiliza un escáner escrito en lenguaje Go para identificar servidores con el puerto 22 (SSH) abierto.

2. Compromiso: Mediante ataques de fuerza bruta o explotación de vulnerabilidades antiguas, el malware se instala en el sistema.

3. Despliegue de herramientas: Una vez dentro, descarga un kit que incluye bots controlados por IRC y "limpiadores" de registros (escritos en C) diseñados para manipular archivos como utmp, wtmp y lastlog, eliminando cualquier rastro de la conexión maliciosa.

4. Persistencia latente: Curiosamente, a diferencia de otras botnets que activan inmediatamente minería de criptomonedas o ataques DDoS, SSHStalker suele mantenerse inactivo tras la infección.

Una amenaza "durmiente"

Los investigadores advierten que este comportamiento latente es preocupante. "El hecho de que no haya una actividad post-explotación inmediata sugiere que los atacantes están acumulando acceso estratégico", señala el reporte. Estos servidores comprometidos podrían funcionar como plataformas de lanzamiento para ataques futuros más sofisticados o para el movimiento lateral dentro de redes corporativas.

Recomendaciones de seguridad

Para mitigar el riesgo de esta y otras botnets similares, los expertos recomiendan a las organizaciones:

• Deshabilitar la autenticación por contraseña en el servicio SSH y optar por el uso de llaves criptográficas.

• Implementar filtrado de salida (egress filtering) para evitar que los servidores se comuniquen con infraestructuras IRC externas no autorizadas.

• Auditar el inventario: Identificar y dar de baja servidores con sistemas operativos antiguos que ya no reciben parches de seguridad.

• Monitorear la ejecución de compiladores (como GCC) y archivos sospechosos en directorios temporales como /tmp.

SSHStalker sirve como un recordatorio crítico de que las vulnerabilidades "muertas" siguen vivas mientras exista infraestructura sin actualizar conectada a la red global.