Vecchia scuola, nuove regole: come l’automazione SSH ha riportato in vita la classica botnet IRC
Una moderna campagna botnet su Linux sfrutta tattiche vecchie di decenni-dimostrando che il cybercrimine “legacy” non muore mai davvero.
Sotto la superficie digitale, una nuova minaccia informatica sta riscrivendo silenziosamente le regole della guerra tra botnet. Soprannominata “SSHStalker” dai ricercatori di sicurezza, questa campagna sta ridando vita a una reliquia dei primi anni di internet: la botnet basata su IRC. Ma, a differenza dei suoi discendenti più furtivi e sofisticati, SSHStalker sta avendo successo non nascondendosi nell’ombra-bensì automatizzando il brute force, prosperando sulla scala e trasformando in arma vulnerabilità dimenticate.
L’operazione SSHStalker è uno studio nel paradosso. Pur utilizzando toolkit malware obsoleti e server IRC (Internet Relay Chat) per il comando e controllo, la sua pipeline è spietatamente efficiente. Inizia con uno scanner basato su Golang, camuffato da legittima utility “nmap”, che si aggira su internet alla ricerca di sistemi con SSH (porta 22) spalancato. Una volta trovato un host vulnerabile, il malware, simile a un worm, si installa e avvia immediatamente la scansione di nuove vittime, creando un ciclo di infezione autosostenuto.
L’infezione non si ferma a un singolo payload. Dopo aver violato un server, SSHStalker scarica la GNU Compiler Collection (GCC) e compila diversi bot IRC in C direttamente sulla macchina bersaglio. Questi bot si connettono a più canali IRC usando credenziali hard-coded, garantendo che, anche se un server di controllo va offline, gli operatori della botnet mantengano l’accesso. Payload aggiuntivi includono bot in Perl, script di escalation dei privilegi e utility per ripulire i log-rendendo l’analisi forense un incubo per i difensori.
L’approccio di SSHStalker è rumoroso ma persistente. Installando un cron job impostato per l’esecuzione ogni minuto, il malware garantisce la propria sopravvivenza. Uccidi il processo, e torna in 60 secondi-a meno che i difensori non rimuovano il cron job stesso. La campagna include anche un polveroso arsenale di exploit del kernel Linux della fine degli anni 2000, ancora efficaci contro server legacy non patchati e immagini VPS dimenticate. Questi exploit, abbinati a rootkit e strumenti di cryptomining, suggeriscono una strategia “comprometti ora, monetizza dopo”.
I ricercatori notano sorprendenti somiglianze con vecchie botnet rumene, anche se l’attribuzione diretta resta sfuggente. Il toolkit della campagna include persino un’utility di ricognizione web progettata per scovare credenziali AWS esposte-segno che gli operatori non puntano solo alle chiavi SSH, ma a qualsiasi punto d’appoggio nell’infrastruttura cloud.
Per i difensori, i segnali d’allarme sono chiari: attività GCC inattesa, binari che compaiono in directory temporanee, connessioni IRC in uscita persistenti e cron job incessanti. Gli esperti di sicurezza esortano le organizzazioni a disabilitare i login SSH con password, imporre l’accesso solo tramite chiave, limitare i compilatori e monitorare attività di processo sospette-soprattutto negli ambienti cloud dove i sistemi legacy sono ancora in agguato.
SSHStalker è un monito netto: nella cybersecurity, ciò che è vecchio può tornare nuovo. Con automazione e scala, anche metodi d’attacco retrò possono minacciare il mondo odierno guidato dal cloud-specialmente quando i difensori abbassano la guardia.
WIKICROOK
- IRC (Internet Relay Chat): IRC è un vecchio protocollo di chat ancora usato oggi, spesso abusato dagli hacker per controllare botnet e coordinare cyberattacchi.
- SSH (Secure Shell): SSH (Secure Shell) è un protocollo che consente agli utenti di accedere e controllare computer da remoto in modo sicuro su una rete, proteggendo i dati con la crittografia.
- Cron job: Un Cron Job è un’attività automatizzata impostata per essere eseguita a orari programmati su sistemi di tipo Unix, comunemente usata per la manutenzione o dagli hacker per la persistenza.
- Rootkit: Un rootkit è un malware furtivo che si nasconde su un dispositivo, consentendo agli attaccanti di controllare il sistema in segreto ed eludere il rilevamento.
- GCC (GNU Compiler Collection): GCC è una suite di compilatori open-source per diversi linguaggi, spesso usata nello sviluppo ma talvolta abusata dagli attaccanti per compilare malware sui sistemi bersaglio.




