Red Hot Cyber

La ciberseguridad se comparte. Reconozca el riesgo, combátalo, comparta sus experiencias y anime a otros a hacerlo mejor que usted.
Buscar
Red Hot Cyber Academy

La suite Shellter Elite utilizada por los equipos rojos para eludir los EDR ahora está siendo utilizada por los ciberdelincuentes.

Redazione RHC : 9 julio 2025 10:51

Shellter Project, creador de un descargador comercial para evadir sistemas antivirus y EDR, ha informado que hackers están utilizando su producto Shellter Elite para realizar ataques. Esto se debe a que uno de sus clientes publicó una copia del software en línea. Según el fabricante, el abuso ha estado ocurriendo durante varios meses y, si bien los investigadores de seguridad detectaron la actividad, los representantes de Shellter no fueron notificados hasta hace poco.

La compañía enfatiza que este es el primer caso conocido de uso indebido del producto desde la introducción del modelo estricto de licencias en febrero de 2023. «Descubrimos que una empresa que recientemente adquirió licencias de Shellter Elite ha publicado su copia del software», declaró Shellter en un comunicado. «Esta filtración ha llevado a los atacantes a usar la herramienta con fines maliciosos, incluida la distribución de programas de sellado de información».

Shellter Elite es un descargador comercial diseñado para eludir los sistemas antivirus y EDR. Lo utilizan frecuentemente profesionales de seguridad (pentesters y equipos rojos) para implementar cargas útiles de forma sigilosa en binarios legítimos de Windows. El producto utiliza polimorfismo para eludir el análisis estático y, en tiempo de ejecución, emplea técnicas como la omisión de AMSI y ETW, depuración y protección del entorno virtual, enmascaramiento de la pila de llamadas, prevención de eliminación de ganchos y la capacidad de lanzar señuelos.

En un informe publicado la semana pasada (3 de julio de 2025), Elastic Security Labs informó que varios atacantes están utilizando Shellter Elite v11.0 para implementar un ladrón de información, incluyendo Rhadamanthys, Lumma y Arechclient2. Los investigadores descubrieron que esta actividad ha estado en curso desde al menos abril, y que el método de distribución del malware se basa en comentarios de YouTube y correos electrónicos de phishing. Basándose en las marcas de tiempo únicas de la licencia, los investigadores plantearon la hipótesis de que los atacantes utilizaron una única copia filtrada del software, hecho que posteriormente confirmaron oficialmente representantes de Shellter.

Además, Elastic ha desarrollado capacidades de detección para muestras maliciosas creadas con la versión 11.0, por lo que las cargas útiles creadas con esta versión de Shellter Elite ya pueden detectarse. A su vez, los desarrolladores han lanzado la versión 11.1 de Elite, que se distribuirá únicamente a clientes verificados, excepto a aquellos que filtraron la versión anterior. El proveedor también calificó la falta de cooperación de Elastic Security Labs de «imprudente y poco profesional» y criticó a los investigadores por no informar a la empresa de sus hallazgos con anterioridad.

«Tenían conocimiento del problema desde hacía meses, pero no nos lo notificaron. En lugar de colaborar para combatir la amenaza, optaron por ocultar la información y publicar una revelación sorpresa, priorizando la publicidad sobre la seguridad», declaró el Proyecto Shellter. Sin embargo, cabe destacar que los investigadores proporcionaron a Shellter todas las muestras e información necesarias para identificar al cliente responsable. La empresa se disculpó con sus «clientes fieles» y enfatizó que no colabora con ciberdelincuentes, expresando su disposición a cooperar con las fuerzas del orden si es necesario.

«Tenían conocimiento del problema desde hacía meses, pero no nos lo notificaron. En lugar de colaborar para combatir la amenaza, optaron por ocultar la información y publicar una revelación sorpresa, priorizando la publicidad sobre la seguridad», declaró el Proyecto Shellter. Sin embargo, cabe destacar que los investigadores proporcionaron a Shellter todas las muestras e información necesarias para identificar al cliente responsable. La empresa se disculpó con sus «clientes fieles» y enfatizó que no colabora con ciberdelincuentes, expresando su disposición a cooperar con las fuerzas del orden si es necesario.

Redazione
Red Hot Cyber's editorial team consists of a collection of individuals and anonymous sources who actively collaborate by providing advance information and news on cyber security and IT in general.

Lista degli articoli

Artículos destacados

¡De usuario a root en un segundo! CISA advierte: millones de sistemas operativos en riesgo. ¡Parche!
Di Redazione RHC - 30/09/2025

La Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) ha añadido una vulnerabilidad crítica en la popular utilidad Sudo, utilizada en sistemas Linux y similares a Unix...

¡EE. UU. quiere hackear Telegram! El caso genera debate sobre privacidad y jurisdicción.
Di Redazione RHC - 29/09/2025

El Departamento de Justicia de EE. UU. recibió autorización judicial para realizar una inspección remota de los servidores de Telegram como parte de una investigación sobre explotación infantil. ...

Ataques globales a dispositivos Cisco: las agencias cibernéticas advierten sobre una crisis en curso
Di Redazione RHC - 29/09/2025

Importantes agencias de todo el mundo han alertado sobre una amenaza crítica a la infraestructura de red: vulnerabilidades en los dispositivos Cisco Adaptive Security Appliance (ASA) y Firepower han ...

¡Instalador falso de Microsoft Teams! Certificados de un solo uso y una puerta trasera en la descarga.
Di Antonio Piazzolla - 29/09/2025

Recientemente, se descubrió una campaña de malvertising dirigida a usuarios empresariales que intentaban descargar Microsoft Teams . A primera vista, el ataque parece trivial: un anuncio patrocinado...

Defectos críticos en los robots chinos. Un robot zombi Bonet puede controlarse remotamente.
Di Redazione RHC - 28/09/2025

El 27 de septiembre de 2025 surgieron nuevas preocupaciones sobre los robots producidos por Unitree Robotics de China, luego de que se informaran graves vulnerabilidades que podrían exponer miles de ...