Uma nova operação de botnet, batizada de SSHStalker, já comprometeu quase 7 mil servidores Linux em todo o mundo. Botnet é uma rede de computadores infectados por malware que são controlados remotamente por criminosos — como se fossem ‘zumbis’ obedecendo ordens sem que os donos saibam.
A empresa de segurança Flare descobriu a campanha ao instalar uma “armadilha digital” com senhas fracas de propósito para atrair invasores.
Durante dois meses de monitoramento desde o início de 2025, a equipe identificou um padrão de ataque completamente novo, sem correspondência em bases de dados de malware conhecidas.
O que chama atenção é a combinação de técnicas antigas dos anos 2000 com automação moderna, criando uma infraestrutura resiliente e difícil de derrubar.
Chat dos anos 90 como central de comando
O SSHStalker usa IRC (Internet Relay Chat) como sistema de controle. IRC é um protocolo de conversa em grupo muito popular nos anos 90, como se fosse um WhatsApp primitivo da época da internet discada. Hoje é considerado ultrapassado, mas os criminosos apostam justamente nisso, é barato, resiliente e possui vários pontos de backup.
A operação adaptou o EnergyMech, um framework originalmente criado para gerenciar canais de IRC, transformando-o em ferramenta para coordenar milhares de máquinas infectadas. Tudo acontece através de salas de chat aparentemente normais.
Para dificultar a detecção, os bots criam identidades falsas usando listas gigantes de apelidos, incluindo gírias romenas e referências da cultura pop, misturando-se com usuários reais.
Como funciona o ataque
O processo começa com varreduras massivas em busca de servidores SSH vulneráveis. Os atacantes instalam um scanner falso chamado “nmap”, escrito em linguagem Golang, que se propaga automaticamente, infectando um computador e usando-o para procurar o próximo alvo.
Quando encontram um servidor com a porta 22 aberta, usada para acesso remoto no Linux, começa o ataque de força bruta. É como tentar abrir um cadeado testando todas as combinações possíveis. Os criminosos apostam em senhas fracas como “admin/admin” ou “root/123456” que ainda são surpreendentemente comuns em sistemas mal configurados.
Uma vez dentro, acontece algo tecnicamente sofisticado: em vez de trazer o vírus pronto, os atacantes instalam o GCC, um compilador de linguagem C, ferramenta que transforma código de programação em programa executável.
Isso porque vírus prontos têm “impressões digitais” únicas que antivírus reconhecem facilmente. Ao compilar o código na hora, dentro do próprio servidor invadido, cada infecção gera um arquivo diferente, impossível de identificar pelos métodos tradicionais.
São instalados dois bots IRC praticamente idênticos, mas conectados a diferentes servidores e salas como redundância. Se um cai, o outro continua funcionando. Além disso, possuem pequenas diferenças para rodar em diferentes arquiteturas de hardware como ARM, x86 e MIPS.
No segundo estágio, é baixado um pacote chamado “GS” com sete componentes maliciosos. Entre eles está o “distro”, que detecta qual distribuição Linux está rodando — CentOS, Ubuntu ou RedHat — e ajusta a instalação. Outros scripts como “clean.c” e “cls.c” apagam registros de acesso (os “logs” do sistema) para dificultar investigações forenses.
Ressurreição automática
O golpe de mestre é a persistência. O malware cria uma tarefa no cron (agendador de tarefas do Linux) que roda a cada minuto verificando se o vírus ainda está ativo. Se um administrador descobrir e matar o processo malicioso, ele volta à vida em no máximo 60 segundos.
Para dificultar ainda mais a limpeza, o sistema prefere operar em memória RAM através de caminhos como /dev/shm, um sistema de arquivos temporário que existe apenas na RAM. Quando o computador reinicia, os arquivos desaparecem, mas a tarefa automática os recria imediatamente.
Vulnerabilidades de 2009 ainda funcionam
Os pesquisadores encontraram no servidor dos atacantes um arsenal de 81 exploits cobrindo 16 CVEs diferentes, sistema de identificação padronizado para falhas de segurança conhecidas. O surpreendente é que visam principalmente versões antigas do kernel Linux da série 2.6.x, comuns entre 2009 e 2010.
Embora a maioria dos sistemas modernos esteja protegida, os pesquisadores estimam que entre 1% e 3% dos servidores na internet ainda sejam vulneráveis, número que sobe para 5% a 10% em ambientes de “cauda longa” como provedores de hospedagem legados, imagens VPS abandonadas e equipamentos industriais antigos.
Mineração de criptomoedas e roubo na nuvem
Além da infraestrutura de botnet, os criminosos instalaram programas de mineração de criptomoedas, que usam o processador das máquinas infectadas para gerar Ethereum Classic, e ferramentas para roubar credenciais da AWS (Amazon Web Services).
Uma ferramenta de reconhecimento vasculha mais de 34 mil caminhos de arquivos em websites mal configurados buscando chaves de acesso expostas. Com essas credenciais, podem assumir controle total da infraestrutura na nuvem das vítimas.
Pistas apontam para a Romênia
A análise do código e artefatos encontrados aponta possível origem romena. Enquanto o repositório contém scripts em russo, chinês, alemão e francês, todos rastreáveis a malware público conhecido, os artefatos em romeno parecem originais.
Apelidos de estilo romeno, padrões de gíria e convenções de nomenclatura reforçam a hipótese.
O SSHStalker mostra semelhanças com operações como Outlaw e Maxlas, ambas associadas a grupos do Leste Europeu, mas sem ligação direta comprovada — pode ser um imitador ou operação derivada.
Acompanhe o TecMundo nas redes sociais. Para mais notícias de segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.
