Botnet Iraniana Exposta via Diretório Aberto: Rede de Retransmissão de 15 Nós e C2 Ativo

Uma falha de OPSEC em um servidor de staging iraniano (185.221.239[.]162) expôs o ambiente operacional completo de um agente com motivação financeira. Isso incluía uma rede de retransmissão KCP-based de 15 nós, abrangendo servidores Hetzner na Finlândia e ISPs iranianos, além de um deployer de botnet em Python (ohhhh.py) capaz de abrir 500 sessões SSH simultâneas para compilar e lançar um cliente de bot DDoS (cnc) diretamente em máquinas vítimas via gcc, e o tooling MHDDos testado contra alvos reais.

O histórico .bash_history exposto documentou três fases operacionais: implantação de túneis usando paqet e 3x-ui, desenvolvimento de DDoS visando um servidor FiveM GTA (5.42.223[.]60:30120) e 194.147.222[.]151, e a construção iterativa da botnet C2 com comentários em Farsi, confirmando a origem do operador. Defensores devem bloquear os IOCs listados, monitorar por invocações inesperadas de gcc e binários renomeados ("hex"), auditar logs de acesso SSH em busca de padrões de credential-stuffing, e tratar quaisquer hosts recrutados como comprometidos independentemente da acessibilidade do C2.