Nouvelles victimes sur IRC : découverte récente du Botnet Linux SSHStalker

L'équipe de recherche de Flare a mis au jour une opération de botnet Linux jusqu'alors inconnue, que nous avons baptisée SSHStalker. À notre connaissance, aucune autre équipe de recherche n'a signalé ce groupe de menaces. Notre honeypot SSH a capturé de multiples attaques sur une période de deux mois, révélant une opération sophistiquée qui combine les tactiques des botnets IRC (Internet Relay Chat) de 2009 avec l'automatisation moderne des compromissions de masse.

Principales conclusions : Infrastructure et tactiques d’attaque de SSHStalker

• L'IRC constitue l'épine dorsale opérationnelleSSHStalker s'appuie sur des mécanismes de botnet IRC classiques et « à l'ancienne » (plusieurs variantes de bots basées sur le C + bot IRC Perl + logiciel malveillant Tsunami + logiciel malveillant Keiten + redondance multi-serveurs/canaux), ce qui indique que l'acteur malveillant privilégie un système de commande et de contrôle résilient et peu coûteux à la sophistication moderne du C2.
• pipeline de compromis massif automatiséLa campagne utilise un scanner SSH (un équivalent de « nmap » en Go) avec une mise en place rapide (installation de GCC, flux de travail de compilation et d'exécution), ainsi que des scanners développés par d'autres et une inscription automatisée aux canaux IRC – ce qui est cohérent avec un opérateur de botnet optimisant l'échelle et la répétabilité.
• La persistance et la récupération sont très bruyantes mais efficaces.Le kit utilise une persistance à faible effort (cron toutes les minutes) avec un modèle de relance « mise à jour » par un chien de garde, ce qui signifie que les défenseurs peuvent le perturber, mais doivent le faire de manière exhaustive, sinon le bot revient en ~60 secondes.
• Cet ensemble d'outils combine des fonctions furtives avec l'exploitation de failles Linux héritées.Outre les outils de nettoyage de journaux (altération des fichiers utmp/wtmp/lastlog) et les artefacts de type rootkit, l'acteur conserve un vaste catalogue d'exploits datant de l'époque Linux 2.6.x (CVE de 2009-2010). Ces exploits sont peu efficaces contre les systèmes modernes, mais restent pertinents contre les infrastructures obsolètes et les environnements hérités.
• Fort chevauchement de l'écosystème avec les stratégies de type Outlaw/Maxlas, mais aucune attribution formelle.La structure des fichiers, l'enchaînement des exécutions, l'inscription IRC et les modèles de persistance ressemblent aux opérations connues des botnets Linux liés à la Roumanie ; cependant, aucun identifiant direct Outlaw/Dota (noms, hachages ou artefacts canoniques) n'a été trouvé, ce qui suggère un opérateur dérivé, un imitateur ou une équipe adjacente plutôt qu'Outlaw confirmé lui-même.

Qui est SSHStalker ? Une nouvelle opération de botnet Linux

SSHStalker ressemble, au premier abord, à un acteur malveillant sophistiqué ciblant les systèmes Linux et exécutant des logiciels malveillants sans fichier, des rootkits, des nettoyeurs de logs et un large éventail d'exploits du noyau. Cependant, une analyse plus approfondie a révélé une autre facette de la menace. Nous avons en réalité découvert un kit de botnet complexe et bruyant, combinant le contrôle IRC traditionnel, la compilation de binaires sur les hôtes, la compromission massive de connexions SSH et une persistance basée sur cron. Autrement dit, une opération privilégiant la fiabilité à la discrétion et la capacité à monter en charge. Dans cet article, nous décrivons l'opération SSHStalker, son processus de déploiement et de compilation de plusieurs bots IRC en C (ainsi qu'en Python, Perl et Shell), sa capacité à se réactiver en moins d'une minute et pourquoi ses empreintes, similaires à celles d'Outlaw/Maxlas, suggèrent un acteur malveillant dérivé de cet écosystème plutôt qu'une nouvelle campagne de l'un de ces groupes. Nous fournissons également aux équipes de défense des indications claires pour détecter et atténuer l'attaque.

Description : Une image ASCII trouvée dans l'un des fichiers de l'acteur malveillant

Analyse technique : Déroulement et méthodologie de l'attaque

Nous avons déployé un honeypot SSH avec des identifiants volontairement faibles et surveillé les tentatives d'intrusion depuis début 2026. Alors que la majorité des attaques provenaient d'acteurs malveillants connus, déjà répertoriés dans les bases de données publiques de logiciels malveillants et les rapports des fournisseurs, nous avons identifié un groupe distinct d'intrusions sans couverture médiatique préalable ni indicateurs de compromission documentés.

Pour vérifier qu'il s'agissait bien d'une activité inédite, nous avons comparé les modes opératoires, l'infrastructure et les échantillons de logiciels malveillants aux bases de données de renseignements sur les menaces existantes, aux publications des fournisseurs de sécurité et aux collections de logiciels malveillants open source. L'ensemble d'outils, le flux d'exécution et l'infrastructure de commande et de contrôle ne correspondaient à aucune campagne précédemment signalée.

Nous avons baptisé cette opération « SSHStalker » en raison de son comportement particulier : le botnet a maintenu un accès persistant sans mener d’opérations à impact observable, bien qu’il dispose des capacités nécessaires pour lancer des attaques DDoS et effectuer du minage de cryptomonnaies. Ce mode de « persistance dormante » – infection des systèmes et prise de contrôle sans monétisation immédiate – la distingue des opérations opportunistes classiques des botnets et suggère soit une infrastructure de test, soit une stratégie de conservation d’accès en vue d’une utilisation ultérieure.

Le déroulement de l'attaque et notre analyse technique sont présentés ci-dessous.

Description : Flux d'attaque de SSHStalker

Explication de l'image ci-dessus :

1. Déposer un fichier binaire nommé nmap et le renommer en scan.
2. Téléchargement de l'utilitaire GCC.
3. Déposer deux fichiers C, 1.c et 2.c, les compiler et les exécuter.
4. Dépose d'un fichier compressé (GS) contenant 7 fichiers :
   • Quatre fichiers C : ac, clean.c, cls.c et ping.c.
   • Deux fichiers shell : distro et go.
   • Un fichier Perl : bot.
5. Dépôt d'un fichier compressé (bootbou.tgz) contenant 8 fichiers :
   • Les fichiers binaires : h32, h64, run32 et run64.
   • Les fichiers shell : autorun, run, go et update.

Une capacité de ver : analyse SSH en masse et attaque par force brute

Le programme binaire se nomme nmap, mais il s'agit d'un programme Go qui analyse le port 22 à la recherche de serveurs ayant une connexion SSH ouverte. Ce scanner est un élément initial d'un ver ou d'un botnet, servant à identifier de nouveaux serveurs cibles à partir d'un serveur nouvellement infecté.

Étape 1 : Déploiement du framework IRC Botnet (1.c, 2.c)

Ensuite, deux fichiers C sont déposés et exécutés. Il s'agit de logiciels malveillants de type bot IRC, quasiment identiques : l'un cible gsm.ftp.sh et le salon #auto, l'autre plm.ftp.sh et le salon #xx. Leur objectif est de pouvoir s'exécuter sur une grande variété de matériels, même avec de légères différences, sur des architectures telles que ARM, x86, MISP, etc.

Pour le script 1.c, il y avait des détails C2 codés en dur : gsm.ftp.sh, canal #auto, clé « gay ».

Pour le script 2.c, il y avait C2 codé en dur : plm.ftp.sh, canal #xx, clé « gay ».

Étape 2 : Livraison de la charge utile multicouche (archive GS)

Le fichier GS est compressé avec Zip et Tar ; une fois décompressé, il contient 7 fichiers.

La commande « go » exécute tous les fichiers l'un après l'autre.

Le fichier ac est une autre variante du même bot contrôlé par IRC (1.c et 2.c), configurée pour se connecter au réseau gsm.ftp.sh et rejoindre un canal spécifique pour le contrôle et la commande. Ses fonctionnalités et son organisation du code correspondent parfaitement à celles du même kit d'outils. Le script ac contient les paramètres C2 suivants, codés en dur : gsm.ftp.sh, canal n° xx, clé « gay ». Il est compilé et exécuté, initiant ainsi la communication C2 avec le canal IRC.

Le fichier de distribution est ensuite exécuté, adaptant son comportement à la distribution Linux (CentOS, Ubuntu ou Red Hat) afin de permettre une exécution persistante. Il charge/active un service/script d'initialisation, par exemple « network-man », depuis un répertoire local (par exemple, .reboot/…) et l'active via systemctl, chkconfig ou update-rc.d.

Ensuite, le fichier ping.c est compilé et exécuté. Il est configuré pour élever les privilèges. Ce script sert de mini-porte dérobée pour l'accès aux privilèges : il appelle setuid(0) / setgid(0) et execl("/bin/bash", …) dans le but d'être compilé et installé comme un lanceur de shell setuid-root (comme le fait go.sh).

Le bot Perl est maintenant exécuté et configuré pour maintenir la communication avec le serveur de commande et de contrôle IRC. Ce bot IRC/DDoS se connecte à un serveur UnrealIRCd, utilise un faux nom de processus (option `-bash`), puis rejoint un canal de contrôle et attend les commandes (flux classique : `NICK/USER, JOIN, PRIVMSG`). Il intègre des routines d'attaque (par exemple, une attaque par inondation) et une logique de contrôle générale, et est conçu pour fonctionner en continu (avec possibilité de persistance au démarrage).

Enfin, les fichiers clean.c et cls.c sont compilés et exécutés. Ils sont chargés de nettoyer et de supprimer l'historique et les journaux de connexions SSH. Le script clean.c est un utilitaire multiplateforme permettant d'effacer les traces : il analyse les répertoires et les fichiers, supprime les chaînes de caractères pouvant servir de preuves dans les journaux et peut manipuler les artefacts de connexion et de comptabilité (par exemple, les zones de type utmp/lastlog). C'est le type d'outil complémentaire utilisé après une compromission pour réduire la visibilité lors d'une investigation numérique.

Le script cls.c est un outil dédié au nettoyage des journaux de connexion, ciblant les enregistrements de type utmp/wtmp/lastlog (Linux/*nix). Il est conçu pour supprimer ou réécrire les entrées associées à un nom d'utilisateur/une session afin de masquer les accès interactifs.

Étape 3 : Un autre fichier compressé (bootbou)

Ce kit établit la persistance et l'exécution « keep-alive » d'une manière très classique et sans effort : il enregistre son répertoire de travail actuel (pwd > dir), puis installe une tâche cron qui s'exécute toutes les minutes et exécute silencieusement un script de mise à jour (* * * * * $dir/update >/dev/null 2>&1). 

Ce script de mise à jour fait office de système de surveillance : il vérifie la présence d'un fichier mech.pid, contrôle si le PID qu'il contient existe toujours (par le biais d'un signal), et si ce n'est pas le cas, il retourne dans le répertoire du kit et relance ./run en arrière-plan, la sortie étant masquée. Autrement dit, si un système de sécurité interrompt le processus principal, cron le relance automatiquement et discrètement en moins de 60 secondes.

Ces scripts exécutent un générateur de botnet IRC. Il crée un fichier cfg contenant plusieurs serveurs/ports IRC (dont UnderNET et plusieurs adresses IP codées en dur), puis y inscrit des jetons « ADMIN » et des champs d'identité aléatoires (IDENT/REALNAME/NICK) choisis dans une vaste liste de mots (argot roumain, noms communs, culture populaire et commandes génériques). 

Ce type de nommage aléatoire permet aux bots de se fondre dans le flux incessant des canaux IRC et complique le blocage par signature. Après la création de la configuration, le programme exécute `./autorun`, supprime un binaire nommé `go`, puis sélectionne un lanceur spécifique à l'architecture (run32/run64), éventuellement masqué par un utilitaire de dissimulation (crond). Enfin, il privilégie l'utilisation de chemins en mémoire tels que `/dev/shm/…`, ce qui réduit l'espace disque occupé et rend le nettoyage plus complexe.

Renseignement sur les menaces : infrastructure et capacités

Sur le serveur de test, nous avons pu recueillir de précieuses informations sur l'opération et l'acteur malveillant. Outre les fichiers mentionnés précédemment, il contient également de nombreux autres fichiers qui fournissent des détails supplémentaires sur les cibles, les capacités et l'origine possible de cet acteur.

L'acteur malveillant combine l'automatisation des compromissions de masse avec un vaste catalogue d'exploits d'élévation de privilèges Linux et d'outils de type rootkit. Dans cet ensemble d'outils, nous avons trouvé 77 fichiers de botnet IRC et un ensemble plus restreint d'utilitaires dédiés effectuant des analyses SSH, incluant l'accès initial, l'inscription au serveur de commande et de contrôle IRC et la persistance sans intervention humaine. 

L'accent est également fortement mis sur l'exécution et la gestion du framework du bot (par exemple, un composant d'exécution automatique marqué comme script d'exécution) et des assistants opérationnels, ce qui correspond au travail de numérisation/bannière effectué par l'acteur, puis à l'intégration des résultats dans la logique de son bot.

Résultats d'une nouvelle analyse : 7 000 cibles SSH compromises

Nous avons trouvé un fichier contenant près de 7 000 résultats récents d'un scanner SSH. Ces résultats datent de janvier 2026, soit une période très proche de l'attaque contre notre honeypot.

Les résultats de l'analyse sont fortement dominés par les fournisseurs d'hébergement cloud, avec de forts indicateurs d'infrastructure Oracle Cloud, qui exploite de grands blocs ASN tels que AS31898 et les plages réseau Oracle associées. 

Géographiquement, ces adresses IP sont généralement réparties dans différentes régions cloud mondiales (États-Unis, UE, Asie-Pacifique). Cette répartition est plus cohérente avec une infrastructure d'attaque opportuniste automatisée ou jetable qu'avec des opérations d'hébergement dédiées, qu'elles soient menées par un État ou une société spécialisée.

Description : Répartition géographique des adresses IP SSH trouvées dans le fichier de résultats

Arsenal d'exploits hérité : 16 CVE ciblant le noyau Linux 2.6.x

Ce qui distingue véritablement ce kit, c'est son inventaire d'exploits : 81 artefacts liés à des exploits, couvrant 16 CVE distinctes (il ne s'agit donc pas d'un seul exploit, mais plutôt d'une collection d'exploits du noyau Linux). Plusieurs sont explicitement étiquetés « élévation de privilèges noyau » ou « exploit du noyau » dans l'ensemble de données, notamment :

• CVE-2009-2692 (déréférencement de pointeur NULL sock_sendpage) présent à la fois sous la forme linux-sendpage.c (« Exploitation du noyau Linux ») et simple.c (« Exploitation Linux »).
• CVE-2009-2698 (udp_sendmsg) présent sous le nom de udp_sendmsg.c (« Exploitation du noyau Linux »).
• CVE-2010-3849 présent sous le nom de full-nelson.c, décrit comme « Racine locale pour Linux <= 2.6.37 (x86/x64) ».
• CVE-2010-1173 présent sous le nom de sctp-boom.py, explicitement une attaque DoS à distance contre le noyau Linux <= 2.6.33.3 (plantage SCTP INIT).
• Des CVE supplémentaires apparaissent dans l'ensemble de modules d'exploitation (par exemple, CVE-2009-2267, CVE-2009-2908, CVE-2009-3547, CVE-2010-2959, CVE-2010-3437 et autres), dont beaucoup sont répertoriées comme modules « d'exploitation Linux » même lorsque la fiche ne contient pas de description complète sur une ligne pour chacune.

Le ciblage du noyau dans l'ensemble de données se concentre autour des anciennes distributions Linux d'entreprise : 

• Références explicites au noyau/à la version et/ou compilations pour 2.6.18, 2.6.18-164, 2.6.31 et 2.6.37. 
• Le kit comprend des modules d'exploitation nommés d'après la version 2.6.31 (par exemple, exp_2.6.31-2010.c, ainsi que exp_ingom0wnar.c et exp_powerglove.c en tant qu'« exploit Linux »). 
• et une limite « fonctionne jusqu’à » clairement définie via full-nelson.c (<= 2.6.37). 

Sur le plan opérationnel, il existe de nombreux scripts d'assistance pour compiler/lancer des modules d'exploitation à grande échelle, le genre de code d'interface que vous déployez lorsque vous prévoyez d'opérer sur des systèmes variés et incohérents et que vous souhaitez que le chemin d'exploitation soit opportuniste.

Enfin, le kit contient des logiciels malveillants étiquetés rootkit et non seulement des scripts de post-exploitation. Nous avons identifié cinq artefacts distincts de type rootkit : 

• brk et brk2 (tous deux étiquetés Linux.Trojan.Rootkit.15) 
• prt et ptrace (tous deux étiquetés LINUX/Rootkit-S), 
• et x (explicitement étiqueté rootkit). 

Il existe également une note supplémentaire dans le package, intitulée « strutum crypto runner + rootkit » (« Fichiers divers »), suggérant que l'acteur associe la furtivité/persistance (comportement de rootkit) à des outils de monétisation (crypto runner) dans le cadre du même package de déploiement. 

Concernant les failles du noyau et les rootkits utilisés par les acteurs malveillants, ces découvertes révèlent un écosystème d'outils construit autour de vulnérabilités du noyau Linux datant de 2009-2010, ciblant principalement la génération 2.6.x qui prédominait sur les serveurs d'entreprise et les systèmes embarqués existants. 

Dans le contexte actuel (2026), leur pertinence directe est faible pour une infrastructure entièrement entretenue, mais pas nulle : 

• Une estimation réaliste des renseignements sur les menaces situerait l'exposition à environ 1 à 3 % des serveurs Linux exposés à Internet. 
• Ce pourcentage atteint 5 à 10 % dans les environnements à longue traîne (fournisseurs d'hébergement traditionnels, images VPS abandonnées, appareils obsolètes, équipements industriels/OT ou déploiements embarqués de niche). 

Le fait que les kits d'exploitation soient open source, largement dupliqués et simples d'utilisation réduit considérablement le niveau de compétence requis. De ce fait, ils sont souvent utilisés par des acteurs de niveau faible à intermédiaire, des opérateurs de botnets ou des courtiers d'accès opportunistes, plutôt que par des APT de haut niveau. Cependant, la présence d'un kit soigneusement préparé, avec plusieurs cibles de noyau, des modules spécifiques à chaque version et une nomenclature liée à des chaînes d'exploitation fonctionnelles, suggère une maturité opérationnelle modérée : l'acteur maîtrise probablement l'identification des versions de noyau, l'enchaînement des attaques par élévation de privilèges et les flux de travail d'exploitation de masse, même s'il ne développe pas de nouveaux exploits. 

Reconnaissance de sites web et collecte d'identifiants AWS

Nous avons découvert un kit conçu pour détecter les secrets exposés sur les sites web. Il comprend un script Python fortement obfusqué qui génère des adresses IP et exécute un binaire nommé « http grabber ». Ce binaire semble être un outil multithread d'analyse et de correspondance de contenu HTTP/HTTPS. Il charge des chemins cibles (une liste de plus de 34 000 chemins de fichiers sur des sites web) et des modèles de recherche (clés AWS), effectue des requêtes web en utilisant des en-têtes similaires à ceux des navigateurs, et analyse les réponses par correspondance d'expressions régulières ou de mots-clés avant d'enregistrer les résultats. La présence d'une prise en charge des proxys, de piles de protocoles TLS/HTTP modernes et de capacités DNS sur HTTPS indique qu'il a été conçu pour fonctionner de manière fiable à grande échelle et potentiellement contourner les restrictions réseau de base. 

Il exécute un « récupérateur de sites web » binaire qui obtient une configuration contenant une liste de plus de 33 000 chemins de sites web et un objectif de recherche qui recherche des clés AWS.

regex_first_key:AKIA regex:([^A-Z0-9]|^)(AKIA|A3T|AGPA|AIDA|AROA|AIPA|ANPA|ANVA|ASIA)[A-Z0-9]{12,}

Infrastructure IRC : Mécanisme énergétique et camouflage comportemental

Les fichiers récupérés indiquent fortement la présence d'un déploiement de bot IRC EnergyMech, un framework d'automatisation historiquement légitime mais fréquemment réutilisé, largement utilisé dans les premiers réseaux IRC pour la gestion et l'automatisation des canaux. 

EnergyMech offre une interface de commande et de contrôle complète via IRC, incluant une hiérarchie des privilèges (utilisateurs de groupes, administrateurs de canaux, administrateurs de bots et propriétaires), l'exécution de commandes à distance, la liaison de plusieurs bots et des fonctionnalités automatisées de contrôle des canaux telles que la protection contre les exclusions massives, la détection des clones et la réouverture automatique des canaux. Dans une infrastructure malveillante ou contrôlée par un attaquant, ces mêmes fonctionnalités peuvent être détournées à des fins de coordination secrète, de persistance et d'orchestration distribuée de bots.

Ce qui rend ce cas particulièrement remarquable, c'est la présence de banques de textes associées (insultes, phrases d'accroche, expressions de chat aléatoires, dictionnaires de surnoms), qui correspondent directement à des commandes EnergyMech intégrées telles que INSULT, PICKUP, SAY, et la rotation automatique des sujets ou des messages. Cela suggère fortement que le bot était configuré non seulement pour le contrôle, mais aussi pour le camouflage comportemental. Plus précisément, il générait du bruit de fond imitant l'activité humaine sur les canaux IRC afin de masquer l'activité réelle de l'opérateur ou de rendre la présence automatisée plus naturelle. Cette tactique est conforme aux méthodes opérationnelles classiques des botnets, où l'intégration aux canaux publics réduisait les soupçons tout en permettant aux opérateurs d'émettre des commandes via des messages privés, des sessions DCC ou des réseaux de bots connectés.

Opérations de minage de cryptomonnaies et motivation financière

Nous avons également trouvé quelques kits de minage de cryptomonnaies. L'un d'eux avait la configuration suivante :

POOL: 2.57.122.42:6960, WALLET: 0xCFCe0805aEFe20326bA1A89bEC2447D6237D75D2.z1.0,

Cela indique une configuration de minage de cryptomonnaie pointant vers un pool privé et utilisant un portefeuille au format Ethereum, probablement pour miner de l'Ethereum Classic (ETC) ou une cryptomonnaie similaire utilisant le hachage ETH. La capture d'écran ci-dessous montre que l'adresse IP privée du pool de minage est associée à un acteur malveillant roumain.

VirusTotal signale l'adresse IP comme malveillante et liée à un acteur de menace roumain.

Nous avons également trouvé PhoenixMiner (MD5 : ba8ecb3b2739e4846e939698d682f73f), qui est un programme de minage de cryptomonnaie haute performance historiquement utilisé pour miner Ethereum et les pièces de la famille Ethereum, ainsi qu'un rootkit – prochider (MD5 : c644c04bce21dacdeb1e6c14c081e359).

Nous avons également trouvé un autre kit de minage de cryptomonnaies avec Linux.Cryptomonnaiesminer.Camelot qui mine via un pool (auto.c3pool.org:19999) avec ce portefeuille : 

84DooBEMjbiQBTjCsMeQcUU7yih9SYW2hi4J9hWE7a8a5DnPmfWRvqjRujcr322DtNhEkqyDHaWoNCM62HUTDU4fJfWLLEz.

Activité du portefeuille crypto

Au cœur du centre de commandement et de contrôle : observation des canaux IRC

Au cours de notre enquête, nous avons pu nous authentifier avec succès auprès du serveur IRC associé à l'infrastructure. Cependant, nous n'avons observé aucune activité de type commande-contrôle, aucune commande de bot ni aucune communication d'opérateur. Le comportement sur le canal semblait se limiter aux connexions et déconnexions des utilisateurs, sans coordination opérationnelle visible au moment de l'observation. Il est à noter que le serveur et la structure des salons étaient hébergés sur ce qui semble être un réseau IRC public et légitime, et l'environnement lui-même paraissait authentique et maintenu, ce qui suggère soit une infrastructure inactive, soit une infrastructure de test, soit l'utilisation d'écosystèmes IRC réels pour se fondre dans le système. opérations malveillantes dans le trafic normal de la plateforme.

Capture d'écran du canal IRC « machines infectées »

Empreinte opérationnelle de SSHStalker et liens avec la Roumanie

SSHStalker ne semble pas se concentrer sur le développement de nouvelles failles de sécurité, mais démontre plutôt un contrôle opérationnel grâce à une implémentation et une orchestration matures, en utilisant principalement le C pour le bot principal et les composants de bas niveau, le shell pour l'orchestration et la persistance, et une utilisation limitée de Python et Perl principalement pour les utilitaires ou les tâches d'automatisation de soutien au sein de la chaîne d'attaque et pour l'exécution du bot IRC.

Des renseignements supplémentaires sur les menaces, recueillis à partir de l'infrastructure de préparation, indiquent que l'acteur malveillant gère un vaste répertoire de logiciels malveillants et de scripts, combinant des outils offensifs open source et des échantillons de logiciels malveillants déjà publiés. L'ensemble de données comprend des scripts et des artefacts écrits ou commentés en russe, chinois, allemand et français, mais son volume est faible et limité ; ces éléments ont systématiquement pu être rattachés à des familles de logiciels malveillants publiques déjà connues ou à des répertoires ouverts. 

En revanche, aucun autre élément ni commentaire en roumain n'a été observé, ce qui suggère soit un développement original, soit des modifications localisées. Ce signal linguistique est par ailleurs renforcé par la présence de pseudonymes, d'expressions argotiques et de conventions de nommage de style roumain dans les canaux IRC et les listes de mots de configuration, constituant ainsi un indicateur géographique pertinent (bien que non définitif).

D'un point de vue opérationnel, SSHStalker présente de fortes similitudes avec les opérations de botnets Linux documentées historiquement, telles que les activités de type Outlaw ou Maxlas : 

• Forte exposition aux attaques par force brute SSH, 
• mise en scène automatisée post-compromis, 
• persistance multicouche, 
• et la coordination des commandes via IRC. 

Sur le plan structurel, la boîte à outils présente un chevauchement évident avec le flux opérationnel et la structure des fichiers de type Outlaw :

• Compromission SSH en plusieurs étapes : préparation et inscription de bots.
• Vaste catalogue d'exploits antérieurs ciblant les noyaux Linux anciens.
• Modèles de persistance et d'exécution de surveillance basés sur Cron.
• Redondance multi-serveurs et basculement de canal IRC.
• Génération de bruit et randomisation d'identité pour le camouflage des canaux.

La hiérarchie des fichiers, les conventions de nommage et la logique d'enchaînement des exécutions rappellent fortement les kits de botnets traditionnels, où les opérateurs regroupent plusieurs kits publics et les assemblent à l'aide de scripts d'orchestration. La présence de variantes de bots IRC dupliquées, de multiples couches d'empaquetage (ZIP → TAR → paquets de charge utile) et de mécanismes de persistance redondants suggère un acteur privilégiant la fiabilité et la diffusion plutôt que la furtivité ou le ciblage précis. 

Cela dit, aucun des fichiers trouvés ne présentait de lien ou de mention d'Outlaw (alias Dota ou Dota 3), ni aucune indication de compromission, que ce soit au niveau des fichiers ou des valeurs de hachage. Malgré nos efforts considérables pour établir un lien précis avec Outlaw, nous n'avons pas réussi à le déterminer. Nous avons donc conclu qu'il pouvait s'agir d'un imitateur, d'un suiveur ou d'une simple coïncidence, et avons nommé l'acteur malveillant SSHStalker.

Globalement, SSHStalker semble appartenir à la catégorie des opérateurs de niveau intermédiaire. Ce groupe de menaces ne développe ni vulnérabilités zero-day ni nouveaux rootkits, mais fait preuve d'une grande rigueur opérationnelle dans ses méthodes de compromission massive, le recyclage de son infrastructure et une persistance durable au sein d'environnements Linux hétérogènes. L'association d'outils globaux recyclés avec des artefacts localisés en roumain et des comportements caractéristiques de l'écosystème IRC constitue l'un des signaux de regroupement les plus forts observés dans le cadre de cette campagne.

Détection et atténuation

Stratégies de détection : Surveillance de l'activité des SSHStalkers

• De nombreux fichiers binaires ont été détectés par VirusTotal ; vous pouvez utiliser un antivirus pour rechercher les fichiers malveillants dans votre environnement.
• Surveiller l'exécution des outils gcc, make ou de compilation sur les serveurs de production.
• Alerte lorsque les compilateurs s'exécutent à partir des répertoires utilisateur, de /tmp ou de /dev/shm.
• Examiner les installations de paquets de chaînes d'outils de développement en dehors des pipelines de construction normaux.
• Alerte lorsque des fichiers binaires nouvellement compilés s'exécutent quelques secondes ou minutes après leur création.
• Surveillez les fichiers sources éphémères suivis de nouveaux artefacts exécutables.
• Surveillez les connexions TCP sortantes qui restent ouvertes pendant de longues périodes.
• Détecter le comportement de la prise de contact IRC (enregistrement du client, modèles de connexion au canal).
• Alerte concernant des serveurs communiquant avec une infrastructure de chat ou de relais externe inconnue.
• Alerte concernant les tâches cron exécutées toutes les minutes.
• Alerte concernant la création de nouveaux utilisateurs root/privilégiés et de clés SSH.
• Surveiller les entrées cron créées en dehors des outils de gestion de configuration.
• Examinez les tâches cron qui exécutent des scripts provenant de répertoires inhabituels.
• Surveiller ou bloquer l'exécution depuis les emplacements /dev/shm et tmpfs.
• Alerte concernant les répertoires cachés ou les fichiers binaires exécutés depuis un stockage en mémoire.
• Surveillez les accès suspects aux fichiers utmp, wtmp et lastlog.
• Alerte en cas de tentative de modification des enregistrements de comptabilité de connexion par des processus non système.

Recommandations d'atténuation : Renforcement du protocole SSH et suppression des vecteurs d'attaque

• Désactiver l'authentification par mot de passe SSH.
• N'utiliser que l'authentification par clé SSH.
• Mettre en œuvre une limitation et une surveillance du débit des attaques par force brute SSH.
• Limitez l'accès SSH en dehors de votre réseau.
• Supprimez les compilateurs des images de production si possible.
• Autoriser l'exécution de la chaîne d'outils uniquement dans des environnements de compilation contrôlés.
• Mettre en œuvre un filtrage des flux de sortie en fonction des besoins de l'entreprise.
• Bloquer par défaut les connexions TCP sortantes inutiles.
• Désactiver l'exécution depuis /dev/shm si possible.
• Surveillez les événements d'exécution de tmpfs dans les outils EDR ou d'audit.
• Surveillez la tâche cron pour détecter les entrées nouvelles ou modifiées.
• Alerte concernant les schémas de persistance d'exécution à haute fréquence.

Indicateurs de compromis

#	Type	Valeur	Hash	Commentaires
1	Fichier elf	h32	MD5: 0d01bd11d1d3e7676613aacb109de55f	Rootkit Prochider
2	Fichier elf	h64	MD5: 1e288bb6920d9cf07d0e5dbc8614469d	Rootkit Prochider
3	Fichier elf	run32	MD5: 32ee52b2918e06e3925eaccb0bea2d66	IRCbot
4	Fichier elf	run64	MD5: 88a31724d376ba7ac8ce5c10f97da83d	IRCbot
5	Fichier elf	nmap	MD5: f8f76d8772f07b716913ba85f3af8380	Aucune détection n'a été relevée sous cr4myx.exe et classée comme charge utile.
6	fichier shell	Autorun	MD5: 5b9d4ff6a89da88dcf1d7d04b6d1e976	Crée une tâche cron persistante et exécute « run »
7	fichier shell	go	MD5: 4c3d248b1fc8d4963ebdded4aecfcb8e	Win.Trojan.Tsunami-5
8	fichier shell	courir	MD5: 70677ce8be9ebc5f81c299f753b98d66	Exécute les rootkits
9	fichier shell	Mise à jour	MD5: 26ad93d703a565a2642c422b2434fc78
10	Fichier Tar	bootbou.tgz	MD5 98f1ac9c9baf2562eb00b7d4f89dc0dc	Contient des logiciels malveillants et des scripts
11	Votre adresse IP	64.227.142.133	-	Marqué comme malveillant, aucune détection spécifique
12	fichier C	1.c	MD5: 6ca73134ee02fb373ebaf9321b9840c8	Win.Trojan.Tsunami-5
13	fichier C	2.c	MD5: a24cabef282713b6c0e3f9c3efdabd91	Win.Trojan.Tsunami-5
14	zip	gs.zip	MD5: 3b64c2ecd7ea152f9d4af9d0461db265	Contient des logiciels malveillants et des scripts
15	fichier tar	gs.tar	MD5: fb2ddb699bed59ff420b43f5640e7e0c	Contient des logiciels malveillants et des scripts
16	fichier C	ca	MD5: a8d19e08aa022bacd8a76777874fad8a	Win.Trojan.Tsunami-5
17	fichier perl	bot	MD5: 1d4c9039ca7e0b3e93c708f5d02f92a0	Win.Trojan.Tsunami-5
18	fichier C	propre.c	MD5: 077cdcbe6c1bf4a0f4bc81feaf283be3	Nettoyer les journaux et les registres d'accès
19	fichier C	cls.c	MD5: 2b31ba929f3e4f8e8c84b3815b0e4909	Nettoie les journaux de connexion
20	fichier shell	distro	MD5: 94e513b01f26399ae16ac91b50fde268
21	fichier shell	go	MD5: fd55f0754084ba041539bb469f06a83d
22	fichier C	ping.c	MD5: 4777d24c864c04a6bfabb836811edf2d	porte dérobée privilégiée
23	Votre adresse IP	185.243.218.59	-	Canaux IRC #xx et #SIP
24	Votre adresse IP	154.35.175.201	-	Canaux IRC #xx et #SIP
25	Votre adresse IP	94.125.182.255	-	Canaux IRC #xx et #SIP
26	Votre adresse IP	23.228.66.219	-	Canaux IRC #xx et #SIP
27	Votre adresse IP	199.71.214.87	-	Canaux IRC #xx et #SIP
28	Votre adresse IP	172.83.156.122	-	Canaux IRC #xx et #SIP
29	Domaine	irc.undernet.org	-	Canaux IRC #xx et #SIP
30	Domaine	plm.ftp.sh	-	Canaux IRC #xx et #SIP
31	Domaine	gsm.ftp.sh	-	Canaux IRC #xx et #SIP