Cyble Research and Intelligence Labs ha revelado ShadowHS, un sofisticado framework sin archivos para post-explotación en sistemas Linux. La herramienta permite operaciones sigilosas en memoria y acceso a largo plazo para los atacantes. Incluye una versión weaponizada de hackshell y técnicas avanzadas de evasión.
Cyble Research and Intelligence Labs (CRIL) anunció el descubrimiento de ShadowHS el 30 de enero de 2026. Este framework de post-explotación apunta a entornos Linux, operando completamente en memoria para evitar dejar rastros en disco. A diferencia del malware convencional, ShadowHS utiliza un cargador de shell encriptado que despliega un hackshell modificado, desencriptado con cifrado AES-256-CBC, salto de bytes Perl y descompresión gzip. La carga útil se ejecuta a través de /proc//fd/ con un argv[0] falsificado, asegurando que no haya artefactos en el sistema de archivos. Una vez desplegado, ShadowHS se centra en la reconnaissance inicial, incluyendo el fingerprinting de herramientas de seguridad del host como CrowdStrike, Tanium, Sophos y Microsoft Defender, así como agentes de nube y OT/ICS. Evalúa compromisos previos e integridad del kernel para ayudar a los operadores a evaluar la postura de seguridad del sistema. CRIL describe el framework como centrado en el operador, con un comportamiento en tiempo de ejecución restringido que permite la activación selectiva de capacidades como acceso a credenciales, movimiento lateral, escalada de privilegios, minería de criptomonedas y exfiltración de datos. > «ShadowHS demuestra una clara separación entre la actividad en tiempo de ejecución restringida y capacidades dormidas extensas», señala CRIL. «Esto es indicativo de una plataforma de post-explotación dirigida por el operador de manera deliberada en lugar de malware automatizado». Para la exfiltración de datos, ShadowHS emplea túneles en espacio de usuario sobre GSocket, evitando canales de red estándar y firewalls. Las variantes incluyen túneles basados en DBus y estilo netcat, que mantienen marcas de tiempo de archivos, permisos y estados parciales de transferencia. Los módulos dormidos cubren volcado de memoria para credenciales, movimiento basado en SSH con escaneo de fuerza bruta, exploits de kernel para escalada y minería vía XMRig, GMiner y lolMiner. También incluye medidas anti-competencia para terminar rivales como Rondo, Kinsing y backdoors Ebury. El framework destaca vulnerabilidades en las defensas de Linux, donde los antivirus tradicionales fallan contra amenazas en memoria. CRIL enfatiza la necesidad de monitoreo de comportamiento de procesos, telemetría de kernel e inteligencia proactiva para contrarrestar tales herramientas adaptativas. > «ShadowHS representa un framework Linux totalmente controlado por el operador, adaptativo, diseñado para sigilo y acceso a largo plazo», afirmó CRIL. Este descubrimiento subraya las amenazas evolutivas a los sistemas Linux, particularmente en entornos empresariales e infraestructura crítica.
