文章总结： 安全研究人员发现新型Linux僵尸网络SSHStalker，利用传统IRC协议实现命令与控制。该僵尸网络通过SSH暴力破解入侵，在主机本地编译C语言木马以增强可移植性，集成了旧版内核漏洞提权、挖矿及窃取云密钥功能。其特点是重规模与韧性轻隐蔽性，尚未观察到实际DDoS攻击。建议关闭SSH密码认证、移除生产环境编译器、监控IRC出站连接及异常定时任务以加强防御。 综合评分： 84 文章分类： 威胁情报,恶意软件,漏洞预警,安全建设

新型Linux僵尸网络SSHStalker利用传统IRC协议实现命令与控制（C2）通信

胡金鱼 胡金鱼

嘶吼专业版

2026年2月14日 14:00 北京

安全研究员最新发现的一款 Linux 僵尸网络 SSHStalker，采用IRC（互联网中继聊天）通信协议实现命令与控制（C2）操作。

据了解，该协议于 1988 年问世，在 20 世纪 90 年代达到普及高峰，成为当时用于群组与私密通信的主流文本即时通信方案。技术社区至今仍青睐其实现简单、互操作性强、带宽占用低且无需图形界面（GUI）等特点。

SSHStalker 僵尸网络并未采用现代化命令与控制框架，而是依托经典 IRC 机制运行，例如使用多个基于 C 语言编写的木马程序、多服务器/多频道冗余设计，更注重韧性、规模化与低成本，而非隐蔽性与技术新颖性。

研究人员表示，这种思路也体现在 SSHStalker 的其他攻击行为中，例如使用特征明显的 SSH 扫描、每分钟执行一次的定时任务，以及大量距今已有 15 年历史的漏洞（CVE）。

据悉，安全研究人员实际发现的是一个特征明显、拼凑而成的僵尸网络工具包，融合了传统 IRC 控制、在主机上编译二进制程序、大规模 SSH 攻陷以及基于定时任务实现持久化等手段。简单来说，这是一套优先规模、注重可靠而非隐蔽的运营模式。

受感染主机 IRC 频道

SSHStalker 通过自动化 SSH 扫描与暴力破解实现初始入侵，其使用的 Go 语言二进制程序会伪装成知名开源网络探测工具 Nmap。

被攻陷的主机随后会被用于扫描更多 SSH 目标，形成类似蠕虫的传播扩散机制。

研究人员发现了一份包含近 7000 条僵尸网络扫描结果的文件，均来自今年 1 月，攻击目标主要集中在Oracle Cloud等云服务商。

SSHStalker 感染主机后，会下载 GCC 编译工具，在受害设备上直接编译恶意载荷，以提升程序可移植性与规避检测能力。

首批载荷为基于 C 语言的 IRC 木马，内置硬编码的控制服务器与频道信息，将新受害主机纳入僵尸网络的 IRC 控制体系。

随后，该恶意软件会下载名为 GS 和 bootbou 的压缩包，其中包含用于统一调度与按序执行的不同木马变体。

持久化机制通过每 60 秒运行一次的定时任务实现，该任务采用看门狗式更新逻辑，检查主木马进程是否运行，若被终止则重新启动。

该僵尸网络还集成了针对 2009—2010 年版本 Linux 内核的 16 个漏洞利用程序，在暴力破解获得低权限用户访问权限后，用于实现权限提升。

攻击链概述

在牟利方式上，该僵尸网络会窃取 AWS 密钥、扫描网站，并集成了挖矿程序，包括高性能以太坊挖矿工具 PhoenixMiner。

僵尸网络同样具备分布式拒绝服务（DDoS）攻击能力，但研究人员表示暂未观测到相关攻击行为。事实上，SSHStalker 木马目前仅连接控制服务器后便进入闲置状态，表明其仍处于测试或囤积访问权限阶段。

研究人员尚未将 SSHStalker 归属到特定攻击组织，但发现其与 Outlaw/Maxlas 僵尸网络体系存在相似之处，并出现多项与罗马尼亚相关的特征线索。

威胁情报机构建议，在生产服务器上应部署针对编译器安装与执行行为的监控方案，并对 IRC 类型的出站连接设置告警。来自异常路径、执行周期极短的定时任务，也是高度危险的预警信号。

安全研究人员提出了一些防御建议，例如关闭 SSH 密码认证、从生产环境镜像中移除编译器、强制实施出站流量过滤，以及限制从 /dev/shm目录执行程序等举措。

参考及来源：https://www.bleepingcomputer.com/news/security/new-linux-botnet-sshstalker-uses-old-school-irc-for-c2-comms/

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：嘶吼专业版 胡金鱼 胡金鱼《新型Linux僵尸网络SSHStalker利用传统IRC协议实现命令与控制（C2）通信》