Компания Shellter Project, производитель коммерческого загрузчика для обхода антивирусов и EDR-систем, предупредила, что хакеры используют ее продукт Shellter Elite в атаках. Дело в том, что один из клиентов слил копию софта в сеть.
По данным производителя, злоупотребления длятся уже несколько месяцев, и хотя ИБ-исследователи заметили эту активность, представители Shellter не получали уведомлений до недавнего времени.
В компании подчеркивают, что это первый известный случай неправомерного использования продукта с момента введения строгой модели лицензирования в феврале 2023 года.
«Мы обнаружили, что компания, недавно купившая лицензии Shellter Elite, допустила утечку своей копии программного обеспечения, — говорится в официальном заявлении Shellter. — Эта утечка привела к тому, что злоумышленники начали использовать инструмент во вредоносных целях, в том числе для доставки инфосилеров».
Shellter Elite представляет собой коммерческий загрузчик, предназначенный для обхода антивирусов и EDR-систем. Его часто используют в работе специалисты по безопасности (пентестеры и red team) для скрытного развертывания полезных нагрузок в легитимных бинарниках Windows. Продукт применяет полиморфизм для обхода статического анализа, а во время выполнения использует техники вроде обхода AMSI и ETW, защиту от отладки и запуска в виртуальной среде, маскировку стека вызовов, препятствует снятию хуков и может запускать приманки.
В отчете, опубликованном на прошлой неделе (3 июля 2025 года), специалисты Elastic Security Labs сообщили, что несколько злоумышленников используют Shellter Elite v11.0 для развертывания инфостилеров, включая Rhadamanthys, Lumma и Arechclient2.
Исследователи установили, что эта активность длится как минимум с апреля, а метод распространения малвари основан на комментариях на YouTube и фишинговых письмах.
На основании уникальных временных меток лицензий исследователи предположили, что злоумышленники использовали единственную просочившуюся в сеть копию ПО, что впоследствии официально подтвердили представители Shellter.
Кроме того, специалисты Elastic разработали средства обнаружения вредоносных образцов, созданных с помощью версии 11.0, поэтому полезные нагрузки, созданные с помощью этой версии Shellter Elite, уже можно обнаружить.
В свою очередь, разработчики выпустили версию Elite 11.1, которая будет распространяться только среди проверенных клиентов, за исключением тех, кто допустил утечку предыдущей версии.
Также производитель назвал отсутствие взаимодействия со стороны Elastic Security Labs «безрассудством и непрофессионализмом» и осудил исследователей за то, что они не уведомили компанию о своих находках раньше.
«Они знали о проблеме в течение нескольких месяцев, но не уведомили нас. Вместо того чтобы совместно противостоять угрозе, они предпочли скрыть информацию, чтобы опубликовать неожиданное разоблачение, отдав приоритет публичности, а не безопасности», — заявляют представители Shellter Project.
Тем не менее, отмечается, что исследователи предоставили Shellter все необходимые образцы и информацию для идентификации клиента-нарушителя.
Компания принесла извинения своим «лояльным клиентам» и подчеркнула, что не сотрудничает с киберпреступниками, выразив готовность сотрудничать с правоохранительными органами, если это потребуется.
