CEVIU Logo
Voltar

Botnet Iraniana Exposta via Diretório Aberto: Rede de Retransmissão de 15 Nós e C2 Ativo

Aprofundamento CEVIU

Aprofundamento

A falha de OPSEC que expôs o servidor de staging iraniano (185.221.239[.]162) não é um erro isolado, é um padrão recorrente em operações de botnet com foco em bypass de censura e DDoS. O uso combinado de paqet (tunelamento KCP sobre pacotes brutos) e 3X-UI (painel web para VLESS/VMESS/Trojan) mostra que a mesma infraestrutura serve dupla função: contornar bloqueios internos do Irã e lançar ataques contra alvos externos, como servidores FiveM, alvos críticos por dependerem exclusivamente de UDP, facilitando floods volumétricos. A compilação on-host via gcc, disparada por até 500 sessões SSH simultâneas no script ohhhh.py, é uma tática deliberada para evitar detecção de binários estáticos, e o renomeamento de executáveis para 'hex' reforça essa camada de evasão.

O histórico .bash_history em farsi não só confirma a origem operacional, mas revela uma cadeia de desenvolvimento iterativo: primeiro túneis, depois testes contra servidores de jogos, por fim o C2 funcional. Isso difere de botnets genéricas, aqui há intenção estratégica, com foco em infraestrutura sensível (como transporte público ou serviços online) e capacidade de escalar rapidamente por meio de credenciais SSH comprometidas, técnica já observada em fevereiro de 2026 com a botnet SSHStalker, que atingiu mais de 7.000 servidores Linux.

Por que isso importa

Empresas que hospedam serviços públicos, jogos online ou infraestrutura crítica devem tratar qualquer invocação inesperada de gcc ou ssh com múltiplas tentativas de login como sinal vermelho, não apenas de intrusão, mas de recrutamento iminente para uma botnet de retransmissão. Servidores FiveM, por exemplo, ficam offline em média 3,2 horas por ataque DDoS, custando entre US$ 25 mil e US$ 40 mil por hora. E como a rede de 15 nós inclui provedores finlandeses (Hetzner) e ISPs iranianos (Dade Samane Fanava, Sindad), o tráfego malicioso pode mascarar sua origem geográfica real, dificultando bloqueios eficazes baseados em ASN ou país.

Perguntas frequentes

Por que compilar o bot diretamente na vítima com gcc é perigoso?

Porque evita assinaturas estáticas de antivírus e EDRs. Binários compilados em tempo real não estão em bancos de dados de ameaças. Além disso, o processo gcc consome CPU e memória de forma anômala, um indicador forte de infecção em servidores Linux que não deveriam compilar código.

O que torna servidores FiveM alvos prioritários para DDoS iranianos?

Eles rodam exclusivamente sobre UDP, sem handshake ou controle de fluxo, ideal para floods SYN, UDP e amplificação. Um único servidor comprometido pode gerar tráfego de até 20 Gbps. Em 2024, 37% dos ataques DDoS na indústria de jogos foram direcionados a FiveM e outros servidores de GTA RP.

Como identificar se meu servidor foi recrutado pela botnet ohhhh.py?

Verifique logs de SSH por padrões de credential-stuffing (múltiplos logins falhos seguidos de um sucesso), busque processos filhos de sshd chamados 'hex' ou com nome aleatório, e monitore uso de CPU associado a gcc ou make. Também revise /var/log/auth.log por conexões vindas de IPs iranianos ou da Finlândia com alta frequência.

O paqet + KCP realmente evita detecção de firewalls corporativos?

Sim, ele opera no nível de pacote bruto, ignorando a pilha TCP/IP tradicional. Ferramentas como Snort ou Suricata não capturam o tráfego como HTTP ou DNS, pois não há headers reconhecíveis. Só soluções com inspeção profunda de pacotes (DPI) ou análise comportamental conseguem flagrar anomalias nesse tipo de tunelamento.

Fontes

Avalie este artigo:
Compartilhar:
Categoria
CEVIU Segurança da Informação
Publicado
19 de março de 2026
Editoria
CEVIU Segurança da Informação

Quer receber mais sobre CEVIU Segurança da Informação?

Conteúdo curado diariamente, direto no seu e-mail.

Conteúdo curado diariamenteDiversas categoriasCancele quando quiser