ShellClient Malware

Los investigadores de Infosec han descubierto un nuevo malware de espionaje que forma parte del conjunto de herramientas de un actor de amenazas no revelado anteriormente. Con el nombre de ShellClient, la amenaza es un troyano de acceso remoto (RAT) que parece implementarse solo en operaciones de ciberespionaje altamente objetivo.

Nuevo actor de amenazas

El malware ShellClient se atribuye a un grupo de ciberdelincuencia separado que se rastrea como MalKamak. Se cree que los piratas informáticos son responsables de una serie de ataques de reconocimiento dirigidos contra objetivos de una multitud de países diferentes, incluidos EE. UU., Rusia, miembros de la UE y países de Oriente Medio. El objetivo de los piratas informáticos parece ser la adquisición de información altamente sensible de un puñado de objetivos específicamente elegidos. Ciertas superposiciones en el código, las convenciones de nomenclatura y las técnicas empleadas apuntan a que MalKamak es un grupo de delitos informáticos de estado-nación con conexiones con Irán.

Funcionalidad y evolución amenazadoras

El malware ShellClient está diseñado para ser especialmente sigiloso, lo que garantiza una presencia prolongada en las máquinas comprometidas. La amenaza se disfraza de "RuntimeBroker.exe". El proceso legítimo es responsable de la administración de permisos para las aplicaciones de Microsoft Store.

Las primeras versiones del malware se remontan a 2018 pero, en ese entonces, ShellClient era una amenaza muy diferente, solo un simple shell inverso independiente. En los años siguientes, los piratas informáticos MalKamak lanzaron varias versiones del malware transformándolo cada vez más en un RAT completo con cada una de las siguientes. Por ejemplo, la iteración 4.0 incluyó una mejor ofuscación de código, el uso del empaquetador Costura, la eliminación del dominio C2 utilizado desde 2018 y la adición de un cliente de Dropbox. Si el desarrollo de la amenaza ha llegado a un punto final, queda por ver.