La ciberseguridad a veces parece un bucle temporal: técnicas y protocolos que parecían relegados al pasado vuelven a reaparecer con nuevas víctimas. Ese es precisamente el caso del botnet recién documentado que los investigadores han bautizado como SSHStalker, una infraestructura maliciosa para Linux que reposa sobre un clásico de la comunicación en Internet: IRC, el veterano Internet Relay Chat.
IRC nació a finales de los años ochenta y durante los noventa fue la forma dominante de mensajería textual para grupos y conversaciones privadas. Aún hoy, comunidades técnicas valoran su sencillez, interoperabilidad y bajo consumo de ancho de banda —características que, paradójicamente, lo hacen atractivo también para operadores de malwares que buscan robustez y bajo coste en sus canales de control. Para entender el protocolo en su forma original puede consultarse el documento histórico RFC 1459 y una visión general en Wikipedia.
Los análisis del equipo de inteligencia en Flare muestran que SSHStalker no pretende ser innovador en técnicas de sigilo; más bien apuesta por la escalabilidad y la resistencia. En lugar de frameworks modernos de C2, el malware despliega múltiples bots escritos en C, se apoya en servidores y canales IRC redundantes y emplea estrategias ruidosas como exploraciones masivas de SSH y tareas programadas cada minuto para mantener presencia. Los detalles del informe están disponibles en el análisis publicado por Flare aquí.
La cadena de infección comienza con un binario escrito en Go que se hace pasar por la herramienta de descubrimiento de red nmap; esa suplantación facilita que la muestra pase desapercibida inicialmente en entornos donde nmap es habitual. Tras ganar acceso por fuerza bruta a través de SSH, el equipo atacante usa los equipos comprometidos para continuar explorando y comprometiendo otros servidores, un comportamiento que recuerda a la dinámica de un gusano. Para quien quiera comparar, la página oficial de nmap sirve como referencia para la utilidad legítima: nmap.org.
Una vez dentro, SSHStalker descarga herramientas de compilación —en particular GCC— para compilar sus binarios directamente en el host infectado. Esa técnica proporciona portabilidad entre arquitecturas y puede ayudar a evadir algunas defensas basadas en firmas. Los primeros binarios que despliega son bots IRC en C, con servidores y canales C2 codificados, y posteriormente fuerza la descarga de paquetes adicionales (denominados en el hallazgo como GS y bootbou) que contienen variantes del bot para orquestación y ejecución de tareas.
Para persistir en los sistemas comprometidos el botnet recurre a cron jobs que se ejecutan cada 60 segundos. Ese mecanismo actúa como un vigilante: comprueba que el proceso principal esté activo y lo relanza si ha sido terminado. Paralelamente, el conjunto incluye exploit kits que aprovechan vulnerabilidades del kernel de Linux de la época 2009–2010 para escalar privilegios cuando la intrusión inicial sólo consigue acceso como usuario de baja confianza. La base de datos del NIST (NVD) es un buen recurso para consultar detalles sobre vulnerabilidades históricas: nvd.nist.gov.
En cuanto a monetización y capacidades operativas, Flare detectó harvest de credenciales y claves de AWS, escaneos de sitios web y la presencia de kits de cripto-minería —entre ellos herramientas conocidas por su rendimiento en Ethereum— además de módulos para ataques DDoS. No obstante, los investigadores puntualizan que hasta ahora los bots se conectan al C2 y entran en un estado mayoritariamente inactivo, lo que sugiere que los operadores podrían estar probando infraestructura o acumulando accesos antes de ponerlos en uso malicioso.
En la telemetría examinada por Flare destacan escaneos dirigidos mayoritariamente a proveedores de nube, con una concentración visible en infraestructura de Oracle Cloud. El equipo no ha atribuido de forma concluyente el trabajo a un actor concreto, aunque observa similitudes técnicas con ecosistemas de botnets previos y algunos indicadores con posibles vínculos geográficos.
Ante esta clase de amenazas, las recomendaciones prácticas buscan elevar el coste de la intrusión y reducir la superficie explotable. Entre las medidas que recomiendan los especialistas figuran desactivar la autenticación por contraseña en SSH y usar claves públicas, eliminar compiladores y herramientas de desarrollo de imágenes de producción para impedir la compilación in situ, filtrar el tráfico saliente para bloquear conexiones C2 (incluyendo patrones de tipo IRC) y restringir la ejecución desde espacios como /dev/shm. Además, conviene establecer detecciones que alerten sobre instalaciones o ejecuciones de compiladores en servidores productivos y sobre cron jobs con cadencias muy cortas creados en rutas inusuales.
Guías prácticas y oficiales para endurecer SSH pueden consultarse en recursos técnicos de referencia y en manuales de OpenSSH: OpenSSH Manual y artículos didácticos de proveedores de infraestructuras que detallan cómo configurar autenticación por clave y otras medidas, por ejemplo en DigitalOcean: How To Set Up SSH Keys. Para políticas de red y filtrado de salida, las recomendaciones de controles de seguridad suelen encontrarse en organizaciones como el Center for Internet Security (CIS) y en la documentación de los proveedores cloud.
SSHStalker es un recordatorio de que no siempre gana el que innova más tecnológicamente, sino quien optimiza una receta comprobada: herramientas simples, codificación ligera, redundancia y automatización masiva. Para administradores y equipos de seguridad, la lección es doble: por una parte, cuidar la higiene básica de los accesos y las imágenes de producción; por otra, instrumentar detecciones que señalen patrones antiguamente considerados “ruidosos” —cron cada minuto, compiladores apareciendo en servidores, conexiones salientes hacia puertos y patrones de IRC— porque ese ruido hoy puede ser la señal de un botnet que está construyendo su ejército.
Si quieres profundizar en los hallazgos técnicos y en las muestras analizadas, el informe de Flare ofrece un desglose detallado con indicadores para detección e respuesta: Old school IRC, new victims — Flare.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...