Uma botnet associada ao Irã teve parte de sua infraestrutura revelada após um erro de configuração expor um diretório aberto em um servidor de staging usado na operação. O vazamento permitiu que pesquisadores acessassem arquivos internos e reconstruíssem detalhes técnicos sobre a rede, incluindo scripts de implantação, ferramentas de negação de serviço e componentes ainda em desenvolvimento.
A descoberta oferece uma visão rara dos bastidores de uma campanha ativa. Entre os itens expostos estavam binários, scripts em Python, arquivos de configuração e listas de credenciais usadas para tentar acesso remoto a sistemas por SSH, indicando uma operação estruturada para comprometimento em massa.
A análise também apontou que a infraestrutura não era composta por um único servidor isolado. A partir de artefatos encontrados no ambiente exposto, os pesquisadores mapearam uma rede com múltiplos nós distribuídos entre provedores no Irã e servidores hospedados na Europa, sugerindo uma arquitetura voltada a redundância e ocultação operacional.
Um dos elementos centrais da botnet era um script automatizado capaz de abrir centenas de sessões SSH simultâneas em busca de acesso válido. Depois da autenticação, o código malicioso era transferido em formato de fonte e compilado localmente no sistema da vítima, técnica que ajuda a evitar detecção baseada em arquivos previamente conhecidos.
Os arquivos vazados também indicam que a infraestrutura tinha uso duplo. Além da operação maliciosa, havia sinais de configuração ligados a serviços de tunelamento e VPN, o que sugere o aproveitamento do mesmo ambiente para ocultação de tráfego e suporte a outras atividades paralelas.
Outro ponto relevante é que a operação incluía recursos voltados a ataques de negação de serviço. O material exposto continha códigos e utilitários voltados a flood e sobrecarga de alvos, reforçando que a botnet não se limitava a acesso remoto, mas podia ser empregada em ações mais amplas de interrupção.
