En otra instancia de los actores de amenaza que reutilizan herramientas legítimas para fines maliciosos, se ha descubierto que los piratas informáticos están explotando una popular herramienta de equipo rojo llamada Bandeja para distribuir malware de robador.
La compañía detrás del software dijo que una compañía que había comprado recientemente las licencias de Shellter Elite filtró su copia, lo que llevó a los actores maliciosos a armarse la herramienta para las campañas de InfoTealer. Desde entonces, se ha lanzado una actualización para conectar el problema.
«A pesar de nuestro riguroso proceso de investigación, que ha impedido con éxito tales incidentes desde el lanzamiento de Shellter Pro Plus en febrero de 2023, ahora nos encontramos abordando esta desafortunada situación», dijo el equipo del Proyecto Shellter en un comunicado.
La respuesta se produce poco después de que elastic Security Labs publicara un informe sobre cómo el marco de evasión comercial está siendo abusado en la naturaleza desde abril de 2025 para propagar Lumma Stealer, Rhadamanthys Stealer y Sectoprat (también conocido como ArechClient2).
Shellter es una herramienta potente que permite a los equipos de seguridad ofensivos omitir el software antivirus y detección y respuesta de punto final (EDR) instalado en puntos finales.
Elastic dijo que identificó múltiples campañas de Infente de Infente de Motivado Financieramente que usa Shellter para empaquetar las cargas útiles a partir de finales de abril de 2025, con la actividad aprovechando a Shellter Elite Versión 11.0 lanzado el 16 de abril de 2025.
«Las muestras protegidas con Shellter comúnmente emplean un código de caparazón auto modificador con ofuscación polimórfica para incrustarse dentro de los programas legítimos», dijo la compañía. «Esta combinación de instrucciones legítimas y código polimórfico ayuda a estos archivos a evadir la detección y las firmas estáticas, lo que les permite permanecer sin ser detectados».
Se cree que algunas de las campañas, incluidas las que entregan sectoprat y robador de Rhadamanthys, adoptaron la herramienta después de que la versión 11 saliera a la venta en un popular foro de delitos cibernéticos a mediados de mayo, utilizando señuelos relacionados con oportunidades de patrocinio dirigidas a creadores de contenido, así como a través de videos de YouTube que reclaman a ofrecer modificaciones gaming como Fortnite trampa.
Se dice que las cadenas de ataque de Lumma que aprovechan a Shellter, por otro lado, se diseminó a través de cargas útiles alojadas en Mediafire a fines de abril de 2025.
Con versiones agrietadas de Cobalt Strike y Brute Ratel C4 anteriormente encontrando su camino a manos de ciberdelincuentes y actores de estado-nación, no sería completamente una sorpresa si Shellter siga una trayectoria similar.
«A pesar de los mejores esfuerzos de la comunidad comercial de OST para retener sus herramientas para fines legítimos, los métodos de mitigación son imperfectos», dijo Elastic. «Aunque el proyecto Shellter es una víctima en este caso a través de la pérdida de propiedad intelectual y el tiempo de desarrollo futuro, otros participantes en el espacio de seguridad ahora deben lidiar con amenazas reales que manejan herramientas más capaces».
Sin embargo, el proyecto Shellter criticó a Elastic por «priorizar la publicidad sobre la seguridad pública» y por actuar de una manera que dijo que era «imprudente y poco profesional» al no notificarles rápidamente.