Investigadores de la empresa Flare han identificado un nuevo botnet para Linux denominado SSHStalker, diseñado específicamente para comprometer infraestructuras en la nube, con un interés notable en instancias alojadas en Oracle Cloud. El malware destaca por combinar ataques SSH por fuerza bruta, propagación automática en red y explotación de vulnerabilidades antiguas del kernel Linux para obtener privilegios de administrador.
Cómo funciona SSHStalker: fuerza bruta SSH y propagación tipo gusano en Linux
La fase inicial de compromiso se basa en el escaneo masivo de servicios SSH en Internet y el uso de diccionarios de contraseñas para romper credenciales mediante fuerza bruta. Para ello, los operadores emplean un binario escrito en Go que se hace pasar por el conocido escáner nmap, lo que reduce la probabilidad de que administradores y sistemas de monitorización identifiquen de inmediato la actividad maliciosa.
Una vez obtenidas credenciales válidas, el servidor comprometido pasa a formar parte activa de la campaña. Flare halló un archivo con resultados de casi 7000 escaneos SSH realizados solo en enero de 2026, lo que evidencia un comportamiento tipo gusano: cada host infectado escanea y ataca otros sistemas Linux, acelerando de forma exponencial la expansión del botnet.
Explotación de vulnerabilidades del kernel Linux para escalar a root
Cuando SSHStalker accede con una cuenta sin privilegios, despliega un conjunto de exploits dirigidos a 16 vulnerabilidades del kernel Linux, principalmente de versiones alrededor de 2009–2010. El objetivo es lograr elevación de privilegios a root, lo que permite el control completo del sistema, la instalación de componentes adicionales y la ocultación de la actividad del malware.
Aunque estas vulnerabilidades son antiguas, siguen presentes en núcleos desactualizados que aún se encuentran en servidores poco mantenidos, entornos internos y sistemas de pruebas olvidados. En muchos incidentes reales, este tipo de activos se convierten en punto de apoyo para moverse lateralmente hacia recursos de mayor valor dentro de la red corporativa o de la nube.
Arquitectura del botnet Linux SSHStalker y sus cargas maliciosas
Una característica clave de SSHStalker es que, tras el compromiso, el host descarga e instala GCC u otros compiladores y compila los binarios maliciosos directamente en la máquina víctima. Esta táctica dificulta la detección basada en firmas, ya que los ejecutables pueden variar entre sistemas, y pasa desapercibida en muchos entornos donde la presencia de compiladores en servidores de producción no se supervisa de forma estricta.
Las primeras cargas útiles desplegadas son bots IRC escritos en C con direcciones de servidores de mando y control (C2) y canales codificados de forma estática. A través de ellos, los nuevos nodos se integran en la infraestructura del botnet. Posteriormente, SSHStalker descarga archivos como GS y bootbou, que contienen variantes de bots responsables de la orquestación de comandos y la secuenciación de tareas. La persistencia se refuerza con tareas de cron que se ejecutan cada 60 segundos para comprobar y relanzar el proceso principal si ha sido detenido.
Objetivos del botnet SSHStalker y modelos de monetización
Según las observaciones de Flare, los atacantes dirigen principalmente sus acciones contra servidores en la nube, con especial actividad en instancias de Oracle Cloud. Las plataformas cloud resultan atractivas por su elevada capacidad de cómputo, anchos de banda significativos y, en muchos casos, políticas menos estrictas sobre tráfico saliente, lo que las convierte en una base ideal para ataques posteriores y abuso de recursos.
Para monetizar el botnet, SSHStalker implementa varios escenarios: recolección de claves de acceso a AWS desde sistemas comprometidos, escaneo de sitios web y despliegue de herramientas de minería de criptomonedas. Entre los componentes detectados figura el minero de Ethereum PhoenixMiner, orientado a extraer el máximo rendimiento de los recursos de CPU y GPU disponibles. El código también incluye capacidades para lanzar ataques DDoS utilizando la potencia agregada del botnet, aunque en el momento del análisis estas funciones parecían estar inactivas, posiblemente en fase de pruebas o como preparación para campañas futuras.
Indicadores de compromiso y estrategias de defensa para servidores Linux
Para detectar la actividad de SSHStalker y botnets similares en servidores Linux y entornos en la nube, es recomendable reforzar el monitoreo de los siguientes indicadores: instalación inesperada de GCC u otros compiladores en sistemas de producción; conexiones salientes a infraestructura tipo IRC en puertos y dominios inusuales; y tareas de cron con intervalos muy cortos (alrededor de un minuto) lanzadas desde directorios temporales o rutas poco habituales.
Como medidas preventivas, conviene desactivar la autenticación por contraseña en SSH y utilizar únicamente claves, eliminar compiladores de las imágenes de producción, establecer filtros estrictos de tráfico saliente y prohibir la ejecución de binarios en rutas como /dev/shm. Es crítico revisar y actualizar núcleos Linux obsoletos, especialmente en sistemas accesibles por SSH desde Internet, así como realizar auditorías periódicas de configuración, endurecer el servicio SSH y mantener un monitoreo continuo de anomalías. Reducir la superficie de ataque y corregir prácticas básicas como el uso de contraseñas débiles sigue siendo una de las formas más efectivas de evitar que servidores Linux terminen integrados en botnets como SSHStalker.
