Darktrace网络安全研究人员近日曝光了一款名为PumaBot的新型隐蔽持久型Linux僵尸网络
。该恶意程序采用Go语言编译的隐蔽二进制文件 ，通过SSH暴力破解攻击和定制后门程序专门针对物联网（IoT）设备
。僵检测与传统僵尸网络依赖全网扫描的尸网设备嘈杂攻击方式不同，PumaBot采用更具针对性和隐蔽性的源码下载络瞄联网策略
，使其更难被检测且具备更强的准物抗打击能力 。

Darktrace在技术分析报告中指出："该恶意软件并非扫描整个互联网，规避而是新型从命令控制（C2）服务器获取目标列表，然后尝试暴力破解SSH凭证。服务器租用隐蔽"初始感染阶段
，僵检测PumaBot会从C2域名（ssh.ddos-cc[.]org）获取开放SSH端口的尸网设备IP地址列表，随后利用C2提供的络瞄联网凭证进行暴力破解登录，并通过环境指纹识别技术规避检测 。准物

该恶意程序具有以下显著特征：

研究人员特别指出："恶意软件还会将自身SSH密钥添加到用户的authorized_keys文件中"，确保即使其服务被移除仍能保持访问权限
。新型

Darktrace发现与PumaBot活动相关的多个二进制文件：

(1) ddaemon

基于Go语言的后门程序
，可从db.17kp[.]xyz自动更新，高防服务器并安装SSH暴力破解工具networkxm。通过专用systemd服务实现持久化。

(2) networkxm

独立暴力破解工具，从同一C2基础设施获取凭证和目标IP。以无限循环方式运行，通过networkxm.service建立持久性。

(3) jc.sh与PAM Rootkit

恶意程序执行的香港云服务器bash脚本（jc.sh）具有以下功能
：

报告披露 ："该二进制文件作为rootkit，通过拦截成功登录来窃取凭证...详细信息存储在/usr/bin/con.txt文件中 。"

PumaBot及其相关载荷展现出高度隐蔽性：

Darktrace总结称："该僵尸网络代表了一种基于Go语言的持久性SSH威胁...其设计意图明显针对防御规避。"