Redazione RHC : 24 August 2025 08:22
Researchers at Trellix have discovered an unusual attack pattern on Linux, in which the key element is not an attachment with malicious content, but the name of the file within the archive itself. The campaign begins with a mass email campaign designed as an invitation to participate in a cosmetics survey, promising a cash bonus.
The peculiarity of this attack is that the malicious code is embedded directly in the file name, not in its content. When attempting to process such a name with unsafe scripts, commands are injected. The trick works thanks to a vulnerability in using shell constructs like eval or echo without proper filtering. Antivirus solutions typically don’t parse file names, making this method particularly insidious.
To launch malicious code, simply extracting a file from an archive isn’t enough. The danger arises when the shell or an automated script attempts to parse the file name. Then, a Base64-encoded loader is extracted from the string, which downloads and launches an ELF binary for the corresponding system architecture, be it x86_64, i386, i686, armv7l, or aarch64. The loaded module contacts the control server, receives the encrypted VShell backdoor, decrypts it, and executes it in RAM.
Scarica Gratuitamente Byte The Silence, il fumetto sul Cyberbullismo di Red Hot Cyber"Il cyberbullismo è una delle minacce più insidiose e silenziose che colpiscono i nostri ragazzi. Non si tratta di semplici "bravate online", ma di veri e propri atti di violenza digitale, capaci di lasciare ferite profonde e spesso irreversibili nell’animo delle vittime. Non possiamo più permetterci di chiudere gli occhi". Così si apre la prefazione del fumetto di Massimiliano Brolli, fondatore di Red Hot Cyber, un’opera che affronta con sensibilità e realismo uno dei temi più urgenti della nostra epoca. Distribuito gratuitamente, questo fumetto nasce con l'obiettivo di sensibilizzare e informare. È uno strumento pensato per scuole, insegnanti, genitori e vittime, ma anche per chi, per qualsiasi ragione, si è ritrovato nel ruolo del bullo, affinché possa comprendere, riflettere e cambiare. Con la speranza che venga letto, condiviso e discusso, Red Hot Cyber è orgogliosa di offrire un contributo concreto per costruire una cultura digitale più consapevole, empatica e sicura. Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected] 
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
VShell is a Go-based remote administration tool actively used by Chinese groups, including UNC5174. It supports reverse shell, file management, process management, port forwarding, and encrypted communication with the C&C server.The program runs entirely in memory, leaving no traces on disk, which significantly complicates detection. Another threat is the ability to infect a wide range of Linux devices.
Trellix emphasizes that the technique for creating such names is impossible to perform manually: external tools or scripts are used to bypass standard input checking in the shell. This indicates a well-prepared attack infrastructure.
In parallel, Picus Security presented an analysis of the new RingReaper post-exploitation tool, which uses the io_uring asynchronous input/output mechanism in the Linux kernel.
Unlike standard read, write, send, and connect calls, this method relies on asynchronous primitives, allowing it to bypass monitoring tools that rely on intercepting system functions. RingReaper can gather information about processes, sessions, network connections, and users, obtain data from /etc/passwd, use SUID binaries to escalate privileges, and erase traces of its activity.
Both developments demonstrate the rapid evolution of Linux attack methods, from exploiting filenames in archives to stealthily exploiting low-level kernel functions. They also demonstrate that traditional defenses are proving increasingly ineffective against new camouflage and deployment approaches.
Redazione