IRC

Selon une publication de recherche de Flare (février 2026), l’opération « SSHStalker » est un nouveau botnet Linux non documenté jusque‑là, qui privilégie une architecture C2 IRC résiliente et peu coûteuse, une automatisation de compromission SSH à grande échelle, et une persistance bruyante via cron. Malgré des capacités de DDoS et de cryptomining, les instances observées maintiennent un accès « dormant » sans monétisation immédiate. L’attaque s’appuie sur un binaire Golang se faisant passer pour « nmap » pour scanner l’SSH (port 22), puis enchaîne la staging/compilation locale (GCC) et l’enrôlement automatique sur des canaux IRC. Des bots C en variantes multiples (1.c, 2.c, a.c) rejoignent des serveurs comme gsm.ftp.sh et plm.ftp.sh (canaux #auto, #xx, clé IRC partagée), tandis qu’un bot Perl (UnrealIRCd) sert de relais C2 et d’outil DDoS. La persistance repose sur un cron chaque minute et un script update « watchdog » qui relance le bot si tué, assurant un retour en <60 s. ...