{
	"id": "4f43c63c-e387-42d7-8f7e-1a1e9764fbe9",
	"created_at": "2026-04-06T00:18:25.839374Z",
	"updated_at": "2026-04-10T13:12:41.462232Z",
	"deleted_at": null,
	"sha1_hash": "d6c890c2105ae7c07cf4f67cd443515069132c1e",
	"title": "Análisis de Linux.Sunless - Security Art Work",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 2371158,
	"plain_text": "Análisis de Linux.Sunless - Security Art Work\r\nBy Joan Soriano\r\nPublished: 2019-01-09 · Archived: 2026-04-05 22:02:10 UTC\r\nSiguiendo con nuestra serie de artículos de seguimiento de botnets IoT, en el siguiente artículo vamos a analizar el\r\nmalware Sunless, el cual fue detectado en nuestros honeypots entre el 18 y el 19 de diciembre.\r\nEste malware se caracteriza por distanciarse en gran medida de variantes basadas en Mirai, incorporando\r\nmecanismos de eliminación de la “competencia” a través de técnicas rudimentarias, vistas anteriormente en\r\nmineros.\r\nInfección\r\nTal y como podemos observar en la imagen inferior, Sunless recicla el método de infección característica del\r\nmalware IoT, utilizando el famoso script bricker.sh, el cual podemos encontrar en numerosas fuentes abiertas.\r\nEn dichos registros, ya podemos encontrar el dominio de descarga de la botnet\r\nhttp://bot[.]sunless[.]network\r\nAnálisis del bot\r\nSi llevamos a cabo el análisis del binario, lo primero que encontramos es la ejecución en pantalla de un bonito\r\nmensaje de bienvenida a la botnet:\r\nhttps://www.securityartwork.es/2019/01/09/analisis-de-linux-sunless/\r\nPage 1 of 7\n\nA continuación, lleva a cabo el escaneo de información del sistema para detectar posibles procesos maliciosos.\r\nDicho escaneo es llevado a cabo a través de la búsqueda de strings características en las siguientes rutas:\r\nproc/%d/exe\r\nproc/%d/maps\r\nproc/%d/cmdline\r\nLas cadenas de texto que busca en cmdline son las siguientes:\r\nPor otra parte, las cadenas que busca en maps, son las siguientes:\r\nUna vez detecta esta información, además de matar el proceso detectado, se transmite al servidor C2, con\r\ndirección IP 217.61.6[.]249, a través de las siguientes peticiones:\r\nhttps://www.securityartwork.es/2019/01/09/analisis-de-linux-sunless/\r\nPage 2 of 7\n\nTras llevar a cabo la fase de persistencia, comienza el escaneo de dispositivos TELNET, a través de peticiones\r\nSYN a puertos 23 y 2323.\r\nEn caso de detectar un dispositivo TELNET, éste informa al servidor C2 de dicha disponibilidad, notificando al\r\nservidor a través del dominio scanlisten.sunless[.]network.\r\nDetrás de Sunless\r\nSi hacemos caso a la salida por pantalla del binario y accedemos al Instagram, la visualización del perfil es la\r\nsiguiente:\r\nhttps://www.securityartwork.es/2019/01/09/analisis-de-linux-sunless/\r\nPage 3 of 7\n\nÚnicamente contiene dos publicaciones, ambas relacionadas con el mundo de la denegación de servicio vía IoT.\r\nLa primera de ellas hace referencia al panel de control cyber-stress[.]us, el cual no parece estar activo en el\r\nmomento de la redacción del presente artículo.\r\nhttps://www.securityartwork.es/2019/01/09/analisis-de-linux-sunless/\r\nPage 4 of 7\n\nOtra información adicional, son los precios del alquiler de la botnet:\r\nEsta información nos permite relacionar a la botnet Sunless con la variante LEAN de Mirai, pues el dominio\r\ncyber-stress[.] ya fue detectado como parte de su infraestructura, por lo que podríamos deducir que la gente detrás\r\nde ambas botnets es la misma.\r\nhttps://www.securityartwork.es/2019/01/09/analisis-de-linux-sunless/\r\nPage 5 of 7\n\nAsí pues, gran parte del formato parece estar alejado a las variantes más características del malware IoT por lo que\r\ntodo apunta que sí se está trabajando en nuevas aproximaciones en la infección de dispositivos, siendo ésta más\r\ncompleja a cada día.\r\nIoC\r\nScanlisten[.]sunless[.]network\r\nbot[.]sunless[.]network\r\n217.61.6[.]249\r\ncyber-stress[.]us\r\nRegla Yara\r\nhttps://www.securityartwork.es/2019/01/09/analisis-de-linux-sunless/\r\nPage 6 of 7\n\nSource: https://www.securityartwork.es/2019/01/09/analisis-de-linux-sunless/\r\nhttps://www.securityartwork.es/2019/01/09/analisis-de-linux-sunless/\r\nPage 7 of 7",
	"extraction_quality": 1,
	"language": "ES",
	"sources": [
		"Malpedia"
	],
	"origins": [
		"web"
	],
	"references": [
		"https://www.securityartwork.es/2019/01/09/analisis-de-linux-sunless/"
	],
	"report_names": [
		"analisis-de-linux-sunless"
	],
	"threat_actors": [],
	"ts_created_at": 1775434705,
	"ts_updated_at": 1775826761,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/d6c890c2105ae7c07cf4f67cd443515069132c1e.pdf",
		"text": "https://archive.orkl.eu/d6c890c2105ae7c07cf4f67cd443515069132c1e.txt",
		"img": "https://archive.orkl.eu/d6c890c2105ae7c07cf4f67cd443515069132c1e.jpg"
	}
}