Uma ameaça cibernética com ligações ao Irã teve toda a sua infraestrutura de trabalho exposta após deixar acidentalmente um diretório aberto em seu próprio servidor de staging, entregando aos pesquisadores uma visão rara de uma operação de botnet em atividade.
Descoberta e escopo
O vazamento revelou uma rede de relés de 15 nós, um framework de implantação em massa via SSH, ferramentas de DDoS compiladas em máquinas de vítimas e um cliente de botnet com um endereço de comando e controle (C2) hardcoded ainda em desenvolvimento ativo. A exposição surgiu em 24 de fevereiro de 2026, quando um servidor no IP 185.221.239[.]162, hospedado em infraestrutura registrada para a Dade Samane Fanava Company (PJS), um provedor de internet iraniano, foi sinalizado durante varreduras de rotina.
O servidor continha 449 arquivos em 59 subdiretórios, incluindo um arquivo de configuração de túnel, scripts de implantação baseados em Python, binários de DDoS compilados, arquivos de código-fonte de negação de serviço em linguagem C e uma lista de credenciais usada para atingir sistemas de vítimas via SSH. Analistas da Hunt.io identificaram o servidor exposto durante uma revisão de rotina de infraestrutura hospedada no Irã usando seu recurso AttackCapture, que indexa diretórios abertos em toda a internet.
Infraestrutura e rede de relés
Ao pivotar em um certificado TLS Let's Encrypt compartilhado vinculado ao domínio wildcard *.server21[.]org, os pesquisadores descobriram 14 endereços IP adicionais compartilhando a mesma impressão digital — sete hospedados na Hetzner Online GmbH na Finlândia e sete registrados em provedores de internet iranianos, incluindo a Dade Samane Fanava Company (PJS) e a Sindad Network Technology PJSC. O domínio foi registrado em 2023, com DNS roteado através da ArvanCloud (arvancdn[.]ir), um provedor de CDN iraniano.
A mesma infraestrutura servia a um propósito duplo. Um arquivo de configuração chamado config-client.yaml descrevia um túnel de pacotes baseado em KCP usando o Paqet — uma ferramenta de código aberto construída para contornar o sistema de filtragem de internet nacional do Irã — onde o servidor iraniano encaminhava tráfego criptografado para um nó de saída na Finlândia. A presença do 3x-ui, um painel proxy baseado na web com gerenciamento de contas de usuário e cotas de tráfego, apontava para um serviço de relé VPN comercialmente operado rodando junto com a infraestrutura de ataque.
Vetor e exploração
Um arquivo de histórico bash exposto delineava a sessão de trabalho do operador em três fases distintas: implantação de túnel, desenvolvimento de ferramentas de DDoS e construção da botnet. Comentários de código inline escritos em Farsi e caracteres de script árabe brutos de erros de digitação no teclado confirmaram que o ator é provavelmente baseado no Irã. Os alvos de DDoS no histórico incluíam um servidor FiveM GTA no 5.42.223[.]60 na porta 30120 e dois hosts voltados para HTTP/HTTPS, com ferramentas C personalizadas — syn.c, flood.c e au.c — além do MHDDOS clonado do GitHub e compilado diretamente no host de staging.
SSH-Driven Mass Deployment
O núcleo do método de infecção desta botnet era um script Python chamado ohhhh.py, que lia credenciais formatadas como host:port|username|password e abria 500 sessões SSH simultâneas contra máquinas de vítimas de uma vez. Uma vez que uma sessão estava ativa, o arquivo de origem do cliente de bot cnc.c era puxado do servidor de staging, compilado na máquina de vítima usando gcc -pthread e lançado em uma sessão screen desanexada.
Esta tática de compilação on-host era um movimento claro para desviar da detecção de binários, já que nenhum executável pré-construído é transferido, tornando a varredura baseada em hash largamente inútil contra ela. O binário compilado era renomeado para hex em hosts infectados — um nome banal improvável de disparar alertas durante uma verificação de sistema de rotina.
Impacto e alcance
O cliente de bot, autoidentificado como BOT CLIENT v1.0, registrava cada host recém-infectado com um beacon carregando o IP da vítima, nome de host e ID de processo como UnknownBOT ONLINE. A lógica de reconexão embutida no binário significa que as máquinas infectadas continuarão tentando alcançar o C2 mesmo se o servidor de staging sair do ar. Um script secundário, yse.py, servia como um interruptor de desligamento, permitindo que o operador apagasse todas as sessões em execução remotamente executando pkill -9 screen em cada host infectado.
Medidas de mitigação recomendadas
Os defensores devem bloquear todos os endereços IP identificados vinculados a esta operação e monitorar os nomes de arquivos específicos e hashes SHA-256 vinculados ao ohhhh.py, yse.py e ao binário cnc. O endurecimento do acesso SSH — ao forçar autenticação baseada em chaves, desativar o login de root e restringir sessões simultâneas — contraria diretamente o método baseado em credenciais que este ator utilizou.
As equipes também devem sinalizar atividade inesperada de compilação gcc em servidores, já que a construção de binários on-host é um indicador significativo de que as detecções em nível de binário padrão podem não capturar este tipo de ameaça.
O que os CISOs devem fazer imediatamente
Organizações que operam servidores expostos ou utilizam credenciais SSH fracas devem revisar imediatamente seus logs de acesso e implementar autenticação de chave pública. A monitoração de tráfego de saída para IPs associados à infraestrutura iraniana e finlandesa identificada é crucial para detectar possíveis conexões de retorno.
Perguntas frequentes
Qual é o risco principal? A capacidade de implantar bots em massa via SSH e executar ataques DDoS sem transferir binários pré-compilados. Como detectar? Procure por compilação gcc inesperada e processos renomeados como 'hex'. É uma ameaça global? Sim, a infraestrutura de relés está distribuída entre Irã e Finlândia.
Implicações para cibersegurança
Este incidente destaca a importância da higiene de configuração de servidores de staging. A exposição de diretórios abertos continua sendo uma falha crítica que permite a exfiltração de inteligência de ataque. A combinação de ferramentas de túnel para contornar censura nacional com infraestrutura de botnet comercial demonstra a evolução de grupos patrocinados por estados.
Conclusão
A exposição desta botnet oferece uma oportunidade única para entender a operação de um ator ligado ao Irã. A implementação de controles de rede rigorosos e a auditoria de configurações de servidor são essenciais para prevenir explorações semelhantes.