كشف باحثون عن حملة جديدة تستهدف أنظمة لينكس، وهي عبارة عن شبكة اختراق تسمى SSHStalker، وتستخدم تقنيات قديمة مثل بروتوكول IRC (Internet Relay Chat) للتحكم، مع الاعتماد على التشغيل الآلي لاختراق خوادم SSH. تعتمد الحملة بشكل أساسي على تخمين كلمات المرور الضعيفة أو المعاد استخدامها، ثم تقوم بتحويل الأجهزة المخترقة إلى منصة لإطلاق حملات مسح وتثبيت إضافية.
تُظهر التحقيقات الأولية التي أجريت في أوائل عام 2026، والتي تمت عبر مراقبة شبكات مصائد بيانات (honeypots)، قيام المهاجمين بتنزيل ملف ثنائي مكتوب بلغة Golang يحمل اسم “nmap”. ولكن بدلاً من وظيفته الاعتيادية، يقوم هذا الملف بالمسح على المنفذ 22 في SSH للبحث عن أهداف جديدة.
شبكة SSHStalker: آلية الاختراق والتوسع
بعد نجاح عملية الاختراق الأولية عبر SSH، تبدأ آلية T_Botnet Campaign، حيث يتم تنزيل أدوات التجميع مثل GCC، ومن ثم تجميع ملفات C صغيرة. بعد ذلك، يتم فك ضغط أرشيفات متعددة الطبقات مثل GS و bootbou.tgz، بهدف نشر روبوتات IRC وأدوات مساعدة لتوسيع نطاق الشبكة.
وتشير البيانات المجمعة المتعلقة بهذه العمليات إلى اكتشاف ما يقرب من 7,000 نتيجة مسح SSH جديدة خلال شهر يناير 2026، وتضم هذه النتائج العديد من عناوين IP من نطاقات استضافة سحابية كبيرة.
وقد قام باحثون في شركة Flare بتحديد هذه المجموعة من الحملات كشيء لم يتم توثيقه سابقًا، وذلك بعد فحص عينات البرمجيات الخبيثة، وطريقة عملها، والبنية التحتية المستخدمة، مقارنة بالتقارير العامة ومجموعات البرمجيات الضارة المعروفة.
وصف الباحثون هذه العمليات بأنها تركز على الحجم أولاً، حيث تعتمد على مكونات مجمعة لضمان وقت تشغيل مرتفع وتكاليف منخفضة، مع التركيز على إمكانية التكرار عبر أنظمة لينكس المختلفة، بدلاً من التخفي.
كما أشاروا إلى وجود “ثبات خامل”، حيث تبقى الأجهزة مسجلة في قنوات التحكم حتى في حال قلة المهام المرئية من قبل المشغلين.
آلية العمل والهجوم
تتبع آلية الهجوم الخاصة بـ SSHStalker خط أنابيب البناء والتشغيل، والتي تشمل عدة نسخ من روبوتات IRC مكتوبة بلغات C و Perl، بالإضافة إلى خوادم وقنوات احتياطية لضمان استمرارية التحكم.
وتقوم نفس الأدوات بتجميع برامج تنظيف لسجلات النظام، تستهدف سجلات الأوامر (shell history) وسجلات الدخول والخروج (utmp/wtmp/lastlog). كما أنها تحمل استغلالات قديمة لأنظمة لينكس (إصدار 2.6.x) والتي لا تزال قادرة على العمل على الأجهزة القديمة وغير المحدثة.
الثبات والبقاء: تحدي كبير
يتميز الثبات في SSHStalker بكونه مباشرًا وغير معقد ولكنه فعال للغاية. تقوم الشبكة بتسجيل دليل العمل الخاص بها، وتضيف وظيفة دورية (cron job) تعمل كل دقيقة لتشغيل آلية مراقبة التحديثات.
إذا قام المدافعون بقتل العملية الرئيسية، يقوم السكربت بفحص ملف PID (معرف العملية) وإعادة تشغيل برنامج التشغيل، وغالبًا ما تستعيد الشبكة السيطرة في غضون 60 ثانية تقريبًا.
هذا الاسترداد السريع يعني أن المستجيبين للحوادث يجب أن يزيلوا كل جزء من هذه الأدوات، وإلا فإن الروبوت سيعود قبل اكتمال عملية الاستجابة.
مؤشرات الاختراق والوقاية
تقدم “مؤشرات الاختراق” (Indicators of Compromise) الحل العملي: يجب إزالة إدخال cron الذي يعمل كل دقيقة، وحذف دليل الأدوات بالكامل (والذي غالبًا ما يكون موجوداً في /dev/shm)، والبحث عن الخدمات أو نصوص الإقلاع (init scripts) التي أضافها مساعد التوزيع.
ولمنع إعادة الدخول، يوصى بتعطيل المصادقة بكلمة المرور عبر SSH، وفرض استخدام المصادقة بالمفاتيح، وتحديد معدل محاولات الوصول العشوائي (brute-force)، وتقييد الوصول إلى SSH لشبكات موثوقة فقط.
على مستوى الأجهزة، يجب التنبيه عند حدوث عمليات تجميع غير متوقعة لـ GCC أو أمر make من مجلدات المستخدمين، أو /tmp، أو /dev/shm، وكذلك عند ظهور ملفات ثنائية جديدة يتم تنفيذها بعد دقائق من التجميع.
وعلى مستوى الشبكة، يجب مراقبة تسجيل عملاء IRC والانضمام إلى القنوات، واستخدام تصفية حركة الخروج (egress filtering) لمنع الخوادم من الحفاظ على جلسات TCP خارجية طويلة الأمد مع بنية تحتية غير معروفة لـ IRC.