Cyble Research and Intelligence Labs a révélé ShadowHS, un framework sophistiqué sans fichiers pour l'exploitation post-compromission sur les systèmes Linux. L'outil permet des opérations furtives en mémoire et un accès à long terme pour les attaquants. Il intègre une version armeé de hackshell et des techniques d'évasion avancées.
Cyble Research and Intelligence Labs (CRIL) a annoncé la découverte de ShadowHS le 30 janvier 2026. Ce framework d'exploitation post-compromission cible les environnements Linux, opérant entièrement en mémoire pour éviter de laisser des traces sur disque. Contrairement aux malwares conventionnels, ShadowHS utilise un chargeur de shell chiffré qui déploie un hackshell modifié, déchiffré avec un chiffrement AES-256-CBC, saut de bytes Perl et décompression gzip. La charge utile s'exécute via /proc//fd/ avec un argv[0] falsifié, assurant l'absence d'artefacts sur le système de fichiers. Une fois déployé, ShadowHS se concentre sur la reconnaissance initiale, incluant l'empreinte digitale des outils de sécurité de l'hôte comme CrowdStrike, Tanium, Sophos et Microsoft Defender, ainsi que les agents cloud et OT/ICS. Il évalue les compromissions antérieures et l'intégrité du noyau pour aider les opérateurs à évaluer la posture de sécurité du système. CRIL décrit le framework comme centré sur l'opérateur, avec un comportement d'exécution restreint permettant l'activation sélective de capacités telles que l'accès aux identifiants, le mouvement latéral, l'escalade de privilèges, le minage de cryptomonnaies et l'exfiltration de données. > «ShadowHS démontre une séparation claire entre l'activité d'exécution restreinte et des capacités dormantes étendues», note CRIL. «Ceci est indicatif d'une plateforme d'exploitation post-compromission pilotée par l'opérateur de manière délibérée plutôt que d'un malware automatisé.» Pour l'exfiltration de données, ShadowHS utilise des tunnels en espace utilisateur sur GSocket, contournant les canaux réseau standards et les pare-feu. Les variantes incluent des tunnels basés sur DBus et de style netcat, qui conservent les horodatages de fichiers, les permissions et les états de transfert partiels. Les modules dormants couvrent le vidage de mémoire pour les identifiants, le mouvement basé sur SSH avec balayage par force brute, les exploits de noyau pour l'escalade et le minage via XMRig, GMiner et lolMiner. Il inclut également des mesures anti-concurrence pour terminer les rivaux comme Rondo, Kinsing et backdoors Ebury. Le framework met en lumière les vulnérabilités des défenses Linux, où les antivirus traditionnels échouent contre les menaces en mémoire. CRIL insiste sur la nécessité de surveiller le comportement des processus, la télémétrie du noyau et une intelligence proactive pour contrer de tels outils adaptatifs. > «ShadowHS représente un framework Linux entièrement contrôlé par l'opérateur, adaptatif, conçu pour la furtivité et l'accès à long terme», a déclaré CRIL. Cette découverte souligne les menaces en évolution pour les systèmes Linux, particulièrement dans les environnements d'entreprise et d'infrastructure critique.
