Uma nova ameaça está rondando o mundo da tecnologia: a SSHStalker, uma botnet que já comprometeu quase 7 mil servidores Linux em todo o mundo. Essa rede de computadores infectados por malware está sendo controlada remotamente por criminosos, trazendo à tona a preocupação com a segurança cibernética.

**A união do antigo com o moderno**

A empresa de segurança Flare descobriu essa campanha ao instalar uma “armadilha digital” com senhas fracas de propósito, atraindo invasores e revelando um padrão de ataque completamente novo. O que chama a atenção é a combinação de técnicas antigas dos anos 2000 com automação moderna, criando uma infraestrutura resiliente e difícil de derrubar.

**De volta aos anos 90: o IRC como central de comando**

O SSHStalker utiliza o IRC (Internet Relay Chat) como sistema de controle, uma escolha surpreendente em plena era da tecnologia avançada. O uso desse protocolo de conversa em grupo popular nos anos 90 traz uma sensação nostálgica para alguns, mas para os criminosos, é uma estratégia eficaz e barata para coordenar milhares de máquinas infectadas.

**Ataque sofisticado e persistente**

O processo de ataque começa com varreduras em busca de servidores SSH vulneráveis, seguido por um ataque de força bruta para quebrar senhas comuns, como “admin/admin” e “root/123456”. Os criminosos utilizam o GCC para compilar o código de programação no próprio servidor invadido, tornando cada infecção única e difícil de detectar.

**Vulnerabilidades antigas ainda são exploradas**

Surpreendentemente, os atacantes focam em vulnerabilidades de versões antigas do kernel Linux, datadas de 2009 e 2010. Mesmo com a maioria dos sistemas modernos protegidos, estima-se que entre 1% e 3% dos servidores ainda sejam vulneráveis, principalmente em ambientes de “cauda longa”.

**Mineração de criptomoedas e roubo na nuvem**

Além da infraestrutura de botnet, os criminosos estão se aproveitando dos recursos das máquinas infectadas para minerar criptomoedas e roubar credenciais da AWS. Com ferramentas de reconhecimento, eles buscam chaves de acesso expostas em websites mal configurados, assumindo o controle total da infraestrutura na nuvem das vítimas.

**Pistas apontam para a Romênia**

A análise do código e artefatos encontrados sugere uma possível origem romena para a operação SSHStalker. Apelidos, padrões de gíria e convenções de nomenclatura reforçam essa hipótese, apontando para uma conexão com grupos do Leste Europeu, como as operações Outlaw e Maxlas.

A SSHStalker é um lembrete da constante evolução e sofisticação das ameaças cibernéticas, exigindo vigilância e medidas de segurança cada vez mais robustas. Fique atento às atualizações de segurança e proteja-se contra essas ameaças digitais.