Selon une publication de recherche de Flare (février 2026), l’opération « SSHStalker » est un nouveau botnet Linux non documenté jusque‑là, qui privilégie une architecture C2 IRC résiliente et peu coûteuse, une automatisation de compromission SSH à grande échelle, et une persistance bruyante via cron. Malgré des capacités de DDoS et de cryptomining, les instances observées maintiennent un accès « dormant » sans monétisation immédiate.

L’attaque s’appuie sur un binaire Golang se faisant passer pour « nmap » pour scanner l’SSH (port 22), puis enchaîne la staging/compilation locale (GCC) et l’enrôlement automatique sur des canaux IRC. Des bots C en variantes multiples (1.c, 2.c, a.c) rejoignent des serveurs comme gsm.ftp.sh et plm.ftp.sh (canaux #auto, #xx, clé IRC partagée), tandis qu’un bot Perl (UnrealIRCd) sert de relais C2 et d’outil DDoS. La persistance repose sur un cron chaque minute et un script update « watchdog » qui relance le bot si tué, assurant un retour en <60 s.

Le kit mélange des helpers de furtivité (nettoyage de logs utmp/wtmp/lastlog), un backdoor setuid (ping.c), et des rootkits (brk, brk2, prt, ptrace, x). L’arsenal comprend 81 artefacts d’exploits couvrant 16 CVE ciblant les noyaux Linux 2.6.x (ex. CVE‑2009‑2692, CVE‑2009‑2698, CVE‑2010‑3849, CVE‑2010‑1173), avec scripts de glue pour les lancer à grande échelle selon les versions détectées.

Côté renseignement, les opérateurs gèrent un écosystème riche (77 fichiers « IRC botnet », autorun, runners multi‑arch h32/h64/run32/run64, exécution depuis /dev/shm). Les résultats de scan indiquent ~7 000 cibles SSH compromises début 2026, majoritairement sur des fournisseurs cloud (fort signal autour d’Oracle Cloud, ASN AS31898), réparties mondialement (US/EU/APAC). Les similarités opérationnelles avec Outlaw/Maxlas sont notables, mais sans éléments d’attribution directs.

L’objectif de l’article est de documenter l’opération, décrire le flux d’attaque et fournir des pistes de détection/neutralisation. Il s’agit d’une publication de recherche présentant une analyse technique détaillée et des indicateurs exploitables par les défenseurs. 🧪

IoCs observables (exemples)

  • C2/IRC : gsm.ftp.sh (canaux #auto/#xx), plm.ftp.sh (canal #xx), réseau UnrealIRCd, mention d’UnderNET
  • Artefacts/fichiers : nmap (scanner Go), 1.c, 2.c, a.c, ping.c, clean.c, cls.c, bot (Perl), distro, go, GS (archive), bootbou.tgz (h32, h64, run32, run64, autorun, run, go, update), mech.pid, service/init « network-man »
  • Persistance/chemins : cron « * * * * * $dir/update >/dev/null 2>&1 », exécution depuis /dev/shm, masquage en « crond » ou « -bash »
  • Rootkits : brk, brk2 (Linux.Trojan.Rootkit.15), prt, ptrace (LINUX/Rootkit‑S), x (rootkit)
  • Cibles : ~7 000 IP (janv. 2026) majoritairement cloud, forte présence Oracle Cloud (AS31898)

TTPs clés

  • Initial access : scan et brute‑force SSH (port 22) depuis des hôtes compromis
  • Exécution : compilation sur hôte (GCC), multi‑langages (C, Perl, Shell, Go)
  • C2 : IRC multi‑serveurs/canaux avec identités aléatoires
  • Persistance : cron par minute + watchdog (update) et services init (systemctl/chkconfig)
  • Élévation : exploits noyau 2.6.x (CVE‑2009‑2692, CVE‑2010‑3849, etc.) et setuid shell
  • Défense évasion : nettoyage utmp/wtmp/lastlog, exécution en /dev/shm, rootkits, usurpation de processus (crond, -bash)
  • Impact potentiel : DDoS et cryptomining (non observés durant la phase « dormante »)

Conclusion : publication de recherche détaillant une nouvelle opération de botnet Linux axée sur l’échelle et la résilience, avec pour but principal de partager des indicateurs et le modus operandi pour faciliter la détection et la mitigation.

🧠 TTPs et IOCs détectés

TTP

[‘Initial access: scan et brute-force SSH (port 22) depuis des hôtes compromis’, ‘Exécution: compilation sur hôte (GCC), multi-langages (C, Perl, Shell, Go)’, ‘C2: IRC multi-serveurs/canaux avec identités aléatoires’, ‘Persistance: cron par minute + watchdog (update) et services init (systemctl/chkconfig)’, ‘Élévation: exploits noyau 2.6.x (CVE-2009-2692, CVE-2010-3849, etc.) et setuid shell’, ‘Défense évasion: nettoyage utmp/wtmp/lastlog, exécution en /dev/shm, rootkits, usurpation de processus (crond, -bash)’, ‘Impact potentiel: DDoS et cryptomining (non observés durant la phase « dormante »)’]

IOC

[‘C2/IRC: gsm.ftp.sh (canaux #auto/#xx), plm.ftp.sh (canal #xx), réseau UnrealIRCd, mention d’UnderNET’, ‘Artefacts/fichiers: nmap (scanner Go), 1.c, 2.c, a.c, ping.c, clean.c, cls.c, bot (Perl), distro, go, GS (archive), bootbou.tgz (h32, h64, run32, run64, autorun, run, go, update), mech.pid, service/init « network-man »’, ‘Persistance/chemins: cron « * * * * * $dir/update >/dev/null 2>&1 », exécution depuis /dev/shm, masquage en « crond » ou « -bash »’, ‘Rootkits: brk, brk2 (Linux.Trojan.Rootkit.15), prt, ptrace (LINUX/Rootkit-S), x (rootkit)’, ‘Cibles: ~7 000 IP (janv. 2026) majoritairement cloud, forte présence Oracle Cloud (AS31898)’]

🔗 Source originale : https://flare.io/learn/resources/blog/old-school-irc-new-victims-inside-the-newly-discovered-sshstalker-linux-botnet