Los investigadores de ciberseguridad han descubierto un desarrollo preocupante a medida que los actores maliciosos comenzaron a explotar a Shellter, un marco comercial de evasión antivirus y respuesta de detección de puntos finales (EDR), para implementar cargas de malware sofisticadas.
Originalmente diseñado para operaciones de pruebas de penetración legítimas, este marco ha sido armado por cibercriminales desde finales de abril de 2025, marcando una escalada significativa en las capacidades de evasión disponibles para los actores de amenaza.
El uso ilícito de Shellter representa una tendencia preocupante en la que las herramientas de seguridad ofensivas legítimas se reutilizan para actividades maliciosas.
El marco comercial, específicamente la versión 11.0 de Elite lanzada el 16 de abril de 2025, proporciona capacidades avanzadas que permiten a malware evitar las soluciones de seguridad modernas a través de sofisticadas técnicas de ofuscación y evasión.
Su generación de código polimórfico y su capacidad para incrustar las cargas de útiles maliciosas dentro de las aplicaciones legítimas han hecho que la detección sea significativamente más desafiante.
Investigadores de laboratorios de seguridad elásticos identificado Múltiples campañas de motivación financiera que utilizan cargas útiles protegidas por Shellter, incluido el despliegue de notorio robos de información como Lumma, Rhadamanthys y ARechClient2.
Estas campañas se dirigieron principalmente a creadores de contenido y comunidades de juego a través de correos electrónicos de phishing cuidadosamente diseñados y enlaces maliciosos distribuidos a través de comentarios de YouTube y plataformas de intercambio de archivos como Mediafire.
Todas las muestras analizadas comparten una marca de tiempo de vencimiento de licencia consistente de 2026-04-17 19: 17: 24.055000, lo que sugiere el uso de una sola licencia ilícita adquirida.
Línea de tiempo de actividad (Fuente – Elástica)
La estrategia de distribución demuestra tácticas sofisticadas de ingeniería social, con atacantes que se hacen pasar por marcas legítimas como Udemy, Skillshare, Pinnacle Studio y Duolingo.
Shellter Desempacker (Fuente – Elástico)
Las víctimas se atraen a la descarga de archivos de archivo malicioso que contienen ejecutables protegidos con Shellter, a menudo disfrazados como contenido promocional o actualizaciones de software.
Mecanismos de evasión avanzados e implementación técnica
La sofisticación técnica de las capacidades de evasión de Shellter representa un desafío significativo para los profesionales de ciberseguridad.
El marco emplea el cifrado CBC AES-128 para proteger las cargas útiles finales, con claves de cifrado, ya sea integradas directamente dentro de malware o obtenida de los servidores controlados por los atacantes.
Este enfoque de doble clave proporciona flexibilidad mientras se mantiene una fuerte protección criptográfica contra los esfuerzos de análisis.
La característica más notable de Shellter es su implementación de la inserción del código de basura polimórfica, generando instrucciones de aspecto legítimo que no sirven a ningún propósito funcional que no sea confuso herramientas de análisis estáticos y sistemas de detección basados en la firma.
Llame a la pila de archivo trasero (fuente – elástico)
El marco utiliza syscalls indirectos y técnicas de corrupción de pila de llamadas para evitar mecanismos de enganche API de modo de usuario comúnmente empleados por EDR Solutions.
Estas técnicas implican la preparación de la pila con direcciones de instrucciones de Syscall limpias de ntdll.dll y utilizando instrucciones de retorno para redirigir el flujo de ejecución.
Los mecanismos de protección de memoria del marco complican aún más el análisis a través de la codificación y decodificación de tiempo de ejecución de secciones de código crítico.
Shellter modifica continuamente los permisos de la página de memoria utilizando funciones como NtQueryVirtualMemory y NtProtectVirtualMemory, asegurando que el código sensible permanezca ofuscado cuando no se ejecuta activamente.
Este esquema de protección dinámica, combinado con la identificación de la herramienta de detección y depuración del entorno virtualizado, crea múltiples capas de defensa contra investigadores de seguridad y sistemas de análisis automatizados.
Investigue el comportamiento de malware en vivo, rastree cada paso de un ataque y tome decisiones de seguridad más rápidas y inteligentes -> Prueba cualquiera.
