概要

Flare社のサイバーセキュリティ研究者が、IRC（Internet Relay Chat）をコマンド＆コントロール（C2）に使用する新しいボットネット「SSHStalker」について詳細を発表しました。このボットネットは、古いLinuxシステムに対して効果的な脆弱性を使用して攻撃を行います。

IRC C2と自動化された大規模な侵害

SSHStalkerは、IRCのC2メカニズムと自動化された大規模な侵害操作を組み合わせています。このボットネットは、ポート22で開いているSSHサーバーを探し出し、脆弱性のあるシステムをネットワークに追加します。

16種類のLinuxカーネル脆弱性

SSHStalkerは、16種類の異なるLinuxカーネルの脆弱性を使用しています。これらの脆弱性には、CVE-2009-2692やCVE-2010-3437などがあります。

マルウェアツールキット

SSHStalkerは、ローカルのログクリーナーとIRC制御されたボットを含む複数のペイロードをドロップします。これらのペイロードは、攻撃者がコマンドを送信して洪水型トラフィック攻撃や他のアクションを行うことを可能にします。

脅威アクターの特徴

この脅威アクターは、ルーマニア起源である可能性が高いと推測されています。これは、IRCチャネルや設定ワードリスト内の「ルーマニア風のニックネーム、スラングパターン、および命名規則」が存在するためです。

まとめ

SSHStalkerは、既存の脆弱性を効果的に使用し、大規模な侵害ワークフローと長期的な持続性を示す強力なオペレーションを実現しています。このボットネットが今後どのような行動を取るかについてはまだ不明確ですが、攻撃者による将来の戦略的アクセス保持やテストのために使用される可能性があります。

元記事: https://thehackernews.com/2026/02/sshstalker-botnet-uses-irc-c2-to.html