یک باتنت لینوکس که به تازگی مستند شده است به نام SSHStalker از پروتکل ارتباطی IRC (Internet Relay Chat) برای عملیات فرماندهی و کنترل (C2) استفاده میکند.
این پروتکل در دهه ۱۹۹۰ به اوج خود رسید و به راهحل اصلی پیامرسانی فوری مبتنی بر متن برای ارتباطات گروهی و خصوصی تبدیل شد. جوامع فنی هنوز هم به دلیل سادگی پیادهسازی، قابلیت همکاری، نیاز به پهنای باند کم و عدم نیاز به رابط کاربری گرافیکی از آن قدردانی میکنند.باتنت SSHStalker به جای چارچوبهای مدرن C2، به مکانیکهای IRC کلاسیک مانند چندین بات مبتنی بر C و افزونگی چند سرور/کانال متکی است و اولویت را به انعطافپذیری، مقیاسپذیری و هزینه کم نسبت به مخفیکاری و نوآوری فنی میدهد. SSHStalker به گروه تهدید خاصی نسبت داده نشده است، اگرچه به شباهتهایی با اکوسیستم باتنت Outlaw/Maxlas و شاخصهای مختلف رومانیایی اشاره دارد.
به گفته محققان شرکت اطلاعات تهدید Flare، این رویکرد به سایر ویژگیهای عملیات SSHStalker، مانند استفاده از اسکنهای SSH پر سر و صدا، کارهای cron یک دقیقهای و یک فهرست طولانی از CVEهای ۱۵ ساله، گسترش مییابد. در واقع، یک کیت باتنت پر سر و صدا و بههمپیوسته بود که کنترل IRC قدیمی، کامپایل فایلهای باینری روی میزبانها، نفوذ گسترده SSH و پایداری مبتنی بر cron را با هم ترکیب میکرد. به عبارت دیگر، عملیات مقیاسپذیر که قابلیت اطمینان را بر مخفیکاری ترجیح میدهد.» SSHStalker از طریق اسکن خودکار SSH و حمله جستجوی فراگیر، با استفاده از یک باینری Go که خود را به عنوان ابزار محبوب کشف شبکه متنباز nmap جا میزند، به دسترسی اولیه دست مییابد. سپس از میزبانهای آلوده برای اسکن اهداف SSH اضافی استفاده میشود که شبیه یک مکانیسم انتشار کرممانند برای باتنت است.
این باتنت همچنین حاوی اکسپلویتهایی برای 16 CVE است که نسخههای هسته لینوکس را از دوره 2009-2010 هدف قرار میدهند. این برای ارتقا سطح دسترسی پس از مرحله brute-forcing قبلی که به یک کاربر با سطح دسترسی پایین میدهد، استفاده میشود. SSHStalker به دلیل ترکیب اتوماسیون نفوذ گسترده با فهرستی از ۱۶ آسیبپذیری متمایز که هسته لینوکس را تحت تأثیر قرار میدهند، قابل توجه است که برخی از آنها به سال ۲۰۰۹ برمیگردند. برخی از نقصهای مورد استفاده در ماژول بهرهبرداری عبارتند از: CVE-2009-2692، CVE-2009-2698، CVE-2010-3849، CVE-2010-1173، CVE-2009-2267، CVE-2009-2908، CVE-2009-3547، CVE-2010-2959 و CVE-2010-3437. در مورد کسب درآمد، فلر متوجه شد که این باتنت، برداشت کلید AWS و اسکن وبسایت را انجام میدهد. همچنین شامل کیتهای کریپتوماینینگ مانند ماینر اتریوم با کارایی بالا PhoenixMiner است. قابلیتهای lku سرویس توزیعشده (DDoS) نیز وجود دارد،
https://www.bleepingcomputer.com/news/security/new-linux-botnet-sshstalker-uses-old-school-irc-for-c2-comms/
https://thehackernews.com/2026/02/sshstalker-botnet-uses-irc-c2-to.html
