Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca
Red Hot Cyber Academy

La suite Shellter Elite utilizzata dai Red Team per il bypass degli EDR, ora viene usata dal cybercrime

Redazione RHC : 9 Luglio 2025 10:38

Shellter Project, produttore di un downloader commerciale per bypassare i sistemi antivirus ed EDR, ha segnalato che gli hacker stanno utilizzando il suo prodotto Shellter Elite per gli attacchi. Questo è dovuto in quanto uno dei suoi clienti ha diffuso una copia del software in rete. Secondo il produttore, l’abuso sarebbe in corso da diversi mesi e, nonostante i ricercatori di sicurezza abbiano notato l’attività, i rappresentanti di Shellter non hanno ricevuto alcuna notifica fino a poco tempo fa.

L’azienda sottolinea che questo è il primo caso noto di uso improprio del prodotto dall’introduzione del rigido modello di licenza nel febbraio 2023. “Abbiamo scoperto che un’azienda che ha recentemente acquistato licenze Shellter Elite ha diffuso la sua copia del software”, ha dichiarato Shellter in un comunicato. “Questa fuga di notizie ha portato gli aggressori a utilizzare lo strumento per scopi illeciti, tra cui la distribuzione di infosealer.”

Shellter Elite è un downloader commerciale progettato per bypassare i sistemi antivirus ed EDR. Viene spesso utilizzato dai professionisti della sicurezza (pentester e red team) per distribuire in modo occulto payload in file binari Windows legittimi. Il prodotto utilizza il polimorfismo per bypassare l’analisi statica e, durante l’esecuzione, impiega tecniche come il bypass AMSI ed ETW, la protezione dal debug e dall’esecuzione in un ambiente virtuale, il mascheramento dello stack di chiamate, impedisce la rimozione degli hook e può lanciare esche.


CALL FOR SPONSOR - Sponsorizza l'ottavo episodio della serie Betti-RHC

Sei un'azienda innovativa, che crede nella diffusione di concetti attraverso metodi "non convenzionali"? Conosci il nostro corso sul cybersecurity awareness a fumetti? Red Hot Cyber sta ricercando un nuovo sponsor per una nuova puntata del fumetto Betti-RHC mentre il team è impegnato a realizzare 3 nuovi episodi che ci sono stati commissionati.

Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]



Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.


In un rapporto pubblicato la scorsa settimana (3 luglio 2025), Elastic Security Labs ha segnalato che diversi aggressori stanno utilizzando Shellter Elite v11.0 per distribuire infostealer, tra cui Rhadamanthys, Lumma e Arechclient2. I ricercatori hanno scoperto che questa attività è in corso almeno da aprile e che il metodo di distribuzione del malware si basa sui commenti su YouTube e sulle e-mail di phishing. Sulla base dei timestamp univoci delle licenze, i ricercatori hanno ipotizzato che gli aggressori abbiano utilizzato un’unica copia trapelata del software, circostanza successivamente confermata ufficialmente dai rappresentanti di Shellter.

Inoltre, Elastic ha sviluppato funzionalità di rilevamento per campioni dannosi creati utilizzando la versione 11.0, pertanto i payload creati utilizzando questa versione di Shellter Elite possono già essere rilevati. A loro volta, gli sviluppatori hanno rilasciato la versione Elite 11.1, che verrà distribuita solo tra i clienti verificati, ad eccezione di coloro che hanno fatto trapelare la versione precedente. Il fornitore ha inoltre definito la mancanza di collaborazione da parte di Elastic Security Labs “sconsiderata e poco professionale” e ha criticato i ricercatori per non aver informato prima l’azienda delle loro scoperte.

“Erano a conoscenza del problema da mesi, ma non ci hanno avvisato. Invece di collaborare per combattere la minaccia, hanno scelto di nascondere l’informazione per pubblicare una rivelazione a sorpresa, dando priorità alla pubblicità rispetto alla sicurezza”, ha affermato il Progetto Shellter. Tuttavia, va notato che i ricercatori hanno fornito a Shellter tutti i campioni e le informazioni necessarie per identificare il cliente responsabile. L’azienda si è scusata con i suoi “clienti fedeli” e ha sottolineato che non collabora con i criminali informatici, esprimendo la propria disponibilità a collaborare con le forze dell’ordine se necessario.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli

Articoli in evidenza

Open Source nel mirino: Aumentano gli attacchi ai repositori dei pacchetti online
Di Redazione RHC - 30/07/2025

Nelle ultime settimane, diversi sviluppatori open source sono stati colpiti da attacchi di phishing, che hanno infettato con malware i pacchetti, alcuni dei quali vengono scaricati 30 milioni di volte...

World Leaks rivendica un Attacco informatico ad ACEA. Aggiornamenti tra 21 ore
Di Redazione RHC - 29/07/2025

Un attacco informatico ai danni di ACEA SpA, colosso italiano attivo nella produzione e distribuzione di elettricità, gas e servizi idrici, è stato rivendicato dai criminali informatici di W...

Zero-click exploit: la nuova frontiera invisibile degli attacchi informatici
Di Redazione RHC - 29/07/2025

Negli ultimi anni, la cybersecurity ha visto emergere minacce sempre più sofisticate, capaci di compromettere dispositivi e dati personali senza che l’utente compia alcuna azione. Tra ques...

Fire Ant all’attacco: come un bug in vCenter apre le porte all’inferno IT
Di Redazione RHC - 28/07/2025

Sygnia segnala che il vettore di attacco iniziale di Fire Ant CVE-2023-34048, sfrutta la vulnerabilità di scrittura fuori dai limiti nell’implementazione del protocollo DCERPC di vCenter S...

Obiettivo: La tua Voce! Scattered Spider mira ai VMware ESXi clonando le voci degli impiegati
Di Redazione RHC - 28/07/2025

Il gruppo Scattered Spider ha intensificato i suoi attacchi agli ambienti IT aziendali, prendendo di mira gli hypervisor VMware ESXi di aziende statunitensi nei settori della vendita al dettaglio, dei...