SSHStalker: 16 bug per compromettere Linux. Vecchi ma ancora molto letali

I ricercatori di Flare hanno scoperto una nuova botnet Linux, SSHStalker. Il malware si infiltra nei dispositivi tramite attacchi brute-force SSH, quindi utilizza sistemi compromessi per trovare nuovi obiettivi, diffondendosi efficacemente come un worm. Gli attacchi della botnet prendono di mira principalmente l’infrastruttura Oracle Cloud.

Secondo gli esperti, l’infezione iniziale avviene tramite scansione SSH automatizzata e attacchi brute-force. Per questo, SSHStalker utilizza un binario scritto in Go che si camuffa da popolare utility nmap.

I dispositivi compromessi iniziano immediatamente a cercare nuovi obiettivi SSH. Ad esempio, gli esperti hanno trovato un file contenente i risultati di quasi 7.000 scansioni, tutte condotte nel gennaio 2026.

Dopo aver infettato con successo l’host, il malware scarica il compilatore GCC per creare payload direttamente sul dispositivo della vittima. Questo aiuta il malware ad adattarsi meglio all’ambiente e ne rende più difficile il rilevamento.

I primi payload sono bot IRC scritti in C con indirizzi e canali C&C incorporati. Questi collegano le nuove vittime all’infrastruttura IRC della botnet. SSHStalker scarica quindi archivi GS e bootbou contenenti varie varianti del bot per l’orchestrazione e l’esecuzione dei comandi.

La persistenza nel sistema è implementata tramite cron job che vengono eseguiti ogni 60 secondi. Il meccanismo verifica se il processo bot principale è in esecuzione e lo riavvia quando termina.

Secondo gli analisti, la botnet sfrutta exploit per 16 vulnerabilità che colpiscono le versioni del kernel Linux del 2009-2010 nei suoi attacchi. Questi bug vengono utilizzati per aumentare i privilegi dopo che gli attacchi brute-force hanno concesso al malware l’accesso a un account con privilegi bassi.

Per quanto riguarda la monetizzazione, gli esperti hanno notato che la botnet raccoglie chiavi AWS e analizza i siti web. È stato anche scoperto che SSHStalker contiene strumenti di mining, tra cui il miner di Ethereum ad alte prestazioni PhoenixMiner.

Il malware è anche in grado di condurre attacchi DDoS, sebbene i ricercatori non abbiano ancora osservato SSHStalker utilizzare queste funzionalità. Attualmente, i bot si connettono semplicemente al server di comando e controllo e passano in modalità inattiva. Ciò suggerisce che la botnet sia attualmente in fase di test o che gli aggressori stiano cercando di accumulare più macchine compromesse prima di avviare le operazioni.

Gli esperti raccomandano di monitorare l’installazione e l’esecuzione del compilatore sui server di produzione, di tenere traccia delle connessioni in uscita di tipo IRC e di prestare attenzione ai cron job con cicli di esecuzione brevi provenienti da directory insolite. Tutti questi fattori potrebbero indicare l’attività di SSHStalker.

Inoltre, gli esperti consigliano di disabilitare l’autenticazione tramite password tramite SSH, rimuovere i compilatori dalle immagini di produzione, impostare il filtraggio del traffico in uscita e disabilitare l’esecuzione dei file da /dev/shm.

Bajram Zeqiri

Bajram Zeqiri è un esperto di cybersecurity, cyber threat intelligence e digital forensics con oltre vent'anni di esperienza, che unisce competenze tecniche, visione strategica creare la resilienza cyber per le PMI. Fondatore di ParagonSec e collaboratore tecnico per Red Hot Cyber, opera nella delivery e progettazione di diversi servizi cyber, SOC, MDR, Incident Response, Security Architecture, Engineering e Operatività. Aiuta le PMI a trasformare la cybersecurity da un costo a leva strategica per le PMI.

Aree di competenza: Cyber threat intelligence, Incident response, Digital forensics, Malware analysis, Security architecture, SOC/MDR operations, OSINT research