Cyble Research and Intelligence Labs telah mengungkap ShadowHS, sebuah framework canggih tanpa file untuk post-eksploitasi pada sistem Linux. Alat ini memungkinkan operasi sembunyi di memori dan akses jangka panjang bagi penyerang. Ini menampilkan versi bersenjata dari hackshell dan teknik penghindaran canggih.
Cyble Research and Intelligence Labs (CRIL) mengumumkan penemuan ShadowHS pada 30 Januari 2026. Framework post-eksploitasi ini menargetkan lingkungan Linux, beroperasi sepenuhnya di memori untuk menghindari jejak di disk. Tidak seperti malware konvensional, ShadowHS menggunakan pemuat shell terenkripsi yang menyebarkan hackshell yang dimodifikasi, didekripsi dengan enkripsi AES-256-CBC, lompatan byte Perl, dan dekompresi gzip. Payload dijalankan melalui /proc//fd/ dengan argv[0] yang dipalsukan, memastikan tidak ada artefak filesystem. Setelah diterapkan, ShadowHS fokus pada rekognisi awal, termasuk fingerprinting alat keamanan host seperti CrowdStrike, Tanium, Sophos, dan Microsoft Defender, serta agen cloud dan OT/ICS. Ini menilai kompromi sebelumnya dan integritas kernel untuk membantu operator mengevaluasi postur keamanan sistem. CRIL menggambarkan framework ini sebagai berorientasi operator, dengan perilaku runtime terbatas yang memungkinkan aktivasi selektif kemampuan seperti akses kredensial, pergerakan lateral, eskalasi hak istimewa, penambangan kripto, dan ekfiltrasi data. > «ShadowHS menunjukkan pemisahan yang jelas antara aktivitas runtime terbatas dan kemampuan dorman yang luas,» catat CRIL. «Ini menandakan platform post-eksploitasi yang didorong operator secara sengaja daripada malware otomatis.» Untuk ekfiltrasi data, ShadowHS menggunakan terowongan ruang pengguna melalui GSocket, melewati saluran jaringan standar dan firewall. Varian termasuk terowongan berbasis DBus dan gaya netcat, yang mempertahankan stempel waktu file, izin, dan status transfer parsial. Modul dorman mencakup pembuangan memori untuk kredensial, pergerakan berbasis SSH dengan pemindaian brute-force, eksploit kernel untuk eskalasi, dan penambangan melalui XMRig, GMiner, dan lolMiner. Ini juga mencakup langkah-langkah anti-kompetisi untuk menghentikan rival seperti Rondo, Kinsing, dan backdoor Ebury. Framework ini menyoroti kerentanan dalam pertahanan Linux, di mana antivirus tradisional gagal melawan ancaman di memori. CRIL menekankan perlunya pemantauan perilaku proses, telemetri kernel, dan intelijen proaktif untuk melawan alat adaptif seperti ini. > «ShadowHS merupakan framework Linux yang sepenuhnya dikendalikan operator, adaptif, dirancang untuk kemunculan dan akses jangka panjang,» kata CRIL. Penemuan ini menggarisbawahi ancaman yang berkembang terhadap sistem Linux, terutama di pengaturan perusahaan dan infrastruktur kritis.
