Sebuah botnet Linux baru bernama SSHStalker terungkap menggunakan protokol lama Internet Relay Chat (IRC) sebagai sarana komunikasi command-and-control (C2). Pendekatan ini terbilang tidak lazim di era framework C2 modern, namun dinilai efektif dari sisi skalabilitas dan ketahanan.
IRC sendiri diperkenalkan pada 1988 dan mencapai puncak popularitas pada 1990-an sebagai solusi pesan instan berbasis teks. Meski kini jarang digunakan secara umum, komunitas teknis masih menghargai IRC karena kesederhanaan implementasi, interoperabilitas tinggi, kebutuhan bandwidth rendah, dan tidak memerlukan antarmuka grafis.
Mengutamakan Skala, Bukan Siluman
Peneliti dari perusahaan intelijen ancaman Flare menemukan bahwa SSHStalker mengadopsi mekanisme klasik IRC dengan beberapa bot berbasis C dan redundansi multi-server maupun multi-channel.
Alih-alih memprioritaskan stealth atau teknik canggih, botnet ini justru mengedepankan ketahanan, biaya rendah, dan kemampuan ekspansi cepat. Karakteristik tersebut juga terlihat dari metode operasionalnya yang relatif “berisik,” seperti pemindaian SSH masif, cron job satu menit, serta eksploitasi kerentanan lama berusia hingga 15 tahun.
Peneliti menyebut SSHStalker sebagai kit botnet yang “dirakit” dari berbagai komponen lama, dengan fokus pada keandalan dan skala.
Penyebaran Lewat Brute Force SSH
Akses awal diperoleh melalui pemindaian dan brute force terhadap layanan SSH secara otomatis. Botnet menggunakan binary berbasis Go yang menyamar sebagai utilitas pemindaian jaringan populer, nmap.
Setelah satu host berhasil dikompromikan, perangkat tersebut digunakan untuk memindai target SSH lainnya, menciptakan pola penyebaran mirip worm.
Flare menemukan berkas berisi hasil hampir 7.000 pemindaian bot hanya dalam bulan Januari, dengan mayoritas target berada pada infrastruktur cloud, khususnya Oracle Cloud.
Kompilasi Payload di Mesin Korban
Begitu berhasil masuk, SSHStalker mengunduh GCC untuk mengompilasi payload langsung di mesin korban. Teknik ini meningkatkan portabilitas dan membantu menghindari deteksi berbasis signature.
Payload awal berupa bot IRC berbasis C dengan server dan channel C2 yang sudah ditanamkan secara hard-coded. Bot tersebut kemudian mendaftarkan host yang terinfeksi ke dalam infrastruktur IRC botnet.
Tahap berikutnya melibatkan pengunduhan arsip bernama “GS” dan “bootbou” yang berisi varian bot untuk orkestrasi dan pengaturan urutan eksekusi.
Persistensi dijaga melalui cron job yang berjalan setiap 60 detik. Mekanisme ini bertindak seperti watchdog yang memeriksa apakah proses bot utama masih aktif, dan akan meluncurkannya kembali jika dihentikan.
Eksploitasi Kernel Lama
SSHStalker juga membawa eksploit untuk 16 CVE yang menargetkan kernel Linux era 2009–2010. Kerentanan lama ini dimanfaatkan untuk melakukan eskalasi hak akses setelah tahap brute force berhasil memberikan akses awal sebagai pengguna terbatas.
Strategi ini menunjukkan bahwa botnet tidak bergantung pada zero-day modern, melainkan mengeksploitasi sistem yang belum diperbarui.
Monetisasi dan Potensi Serangan
Dalam analisisnya, Flare menemukan bahwa botnet ini melakukan pencurian kunci AWS serta pemindaian situs web. Paket cryptomining juga ditemukan, termasuk miner Ethereum PhoenixMiner.
Kemampuan distributed denial-of-service (DDoS) turut tersedia, meski belum ada aktivitas serangan yang teramati. Saat ini, sebagian besar bot hanya terhubung ke server C2 dan berada dalam kondisi idle, mengindikasikan kemungkinan fase pengujian atau pengumpulan akses.
Flare belum mengaitkan SSHStalker dengan grup ancaman tertentu. Namun, ditemukan sejumlah kemiripan dengan ekosistem botnet Outlaw/Maxlas serta indikator yang mengarah ke Romania.
Rekomendasi Mitigasi
Untuk mengurangi risiko infeksi SSHStalker, organisasi disarankan:
- Menonaktifkan autentikasi SSH berbasis password dan beralih ke kunci publik.
- Menghapus compiler dari image produksi server.
- Menerapkan egress filtering untuk membatasi koneksi keluar yang tidak perlu.
- Membatasi eksekusi dari direktori seperti
/dev/shm. - Memantau instalasi dan eksekusi compiler di server produksi.
- Mendeteksi koneksi outbound bergaya IRC yang tidak biasa.
- Mengawasi cron job dengan interval sangat singkat dari path yang mencurigakan.
Kemunculan SSHStalker menunjukkan bahwa teknik lama masih relevan jika dikombinasikan dengan strategi penyebaran masif dan infrastruktur sederhana namun efektif. Dalam banyak kasus, keamanan dasar seperti pembaruan sistem dan konfigurasi SSH yang tepat tetap menjadi garis pertahanan terpenting.