Sigurnosni stručnjaci su otkrili zabrinjavajući trend u kojem zlonamjerni akteri koriste SHELLTER, komercijalni okvir za izbjegavanje antivirusa i EDR rješenja, za implementaciju sofisticiranih malver payload-ova. Ovaj okvir, prvobitno namijenjen legitimnim operacijama penetracijskog testiranja, pretvoren je u alat za kibernetičke kriminalce od kasnog aprila 2025. godine, što predstavlja značajan porast mogućnosti za izbjegavanje sigurnosnih mjera.
Nelegalna upotreba SHELLTER-a ukazuje na uznemirujući trend prenamjene legitimnih alata za ofanzivno sigurnosno testiranje u svrhe zlonamjernih aktivnosti. Komercijalni okvir, posebno Elite verzija 11.0 objavljena 16. aprila 2025., nudi napredne mogućnosti koje omogućavaju malveru da zaobiđe savremena sigurnosna rješenja putem sofisticirane obfuskacije i tehnika izbjegavanja. Njegova polimorfna generacija koda i sposobnost ugrađivanja zlonamjernih payload-ova unutar legitimnih aplikacija čine otkrivanje znatno težim.
Istraživači iz Elastic Security Labs identifikovali su više finansijski motiviranih kampanja koje koriste SHELLTER-zaštićene payload-ove, uključujući implementaciju poznatih kradljivaca informacija kao što su LUMMA, RHADAMANTHYS i ARECHCLIENT2. Ove kampanje su prvenstveno ciljale kreatore sadržaja i zajednice igrača putem pažljivo oblikovanih phishing e-poruka i zlonamjernih linkova distribuiranih u komentarima na YouTubeu i platformama za dijeljenje datoteka poput MediaFire. Svi analizirani uzorci dijele dosljedan vremenski pečat isteka licence 2026-04-17 19:17:24.055000, što sugerira korištenje jedne ilegalno stečene licence.
Strategija distribucije pokazuje sofisticirane taktičke inženjeringe, sa napadačima koji se lažno predstavljaju kao legitimni brendovi, uključujući Udemy, Skillshare, Pinnacle Studio i Duolingo. Žrtve se mame na preuzimanje zlonamjernih arhivskih datoteka koje sadrže SHELLTER-zaštićene izvršne datoteke, često prerušene kao promotivni sadržaj ili ažuriranja softvera.
Tehnička sofisticiranost SHELLTER-ovih mogućnosti izbjegavanja predstavlja značajan izazov za stručnjake za kibernetičku sigurnost. Okvir koristi AES-128 CBC enkripciju za zaštitu konačnih payload-ova, sa ključevima za enkripciju koji su ili ugrađeni direktno u malver ili preuzeti sa servera pod kontrolom napadača. Ovaj pristup dvostrukog ključa pruža fleksibilnost uz održavanje jake kriptografske zaštite protiv pokušaja analize.
Najznačajnija karakteristika SHELLTER-a je implementacija polimorfne generacije junk koda, koja stvara legitimno izgledajuće instrukcije koje ne služe nikakvoj funkcionalnoj svrsi osim zbunjivanja alata za statičku analizu i sistema za detekciju zasnovanih na potpisima. Okvir koristi indirektne sistemske pozive (syscalls) i tehnike oštećenja pozivnog stabla (call stack) za zaobilaženje mehanizama za kukanje API-ja u korisničkom načinu rada (user-mode API hooking) koje često koriste EDR rješenja. Ove tehnike uključuju pripremu stabla sa adresama čistih sistemskih poziva iz ntdll.dll i korištenje povratnih instrukcija za preusmjeravanje protoka izvršavanja.
SHELLTER-ovi mehanizmi zaštite memorije dodatno kompliciraju analizu putem kodiranja i dekodiranja kritičnih dijelova koda u realnom vremenu. Okvir kontinuirano mijenja dozvole memorijskih stranica koristeći funkcije kao što su NtQueryVirtualMemory i NtProtectVirtualMemory, osiguravajući da osjetljivi kod ostaje obfuskiran kada nije aktivno u izvršavanju. Ova dinamička shema zaštite, u kombinaciji s detekcijom virtualiziranog okruženja i identifikacijom alata za debugiranje, stvara višestruke slojeve odbrane protiv sigurnosnih istraživača i automatiziranih sistema za analizu.
