Cyble Research and Intelligence Labs revelou ShadowHS, um framework sofisticado sem arquivos para pós-exploração em sistemas Linux. A ferramenta permite operações furtivas em memória e acesso de longo prazo para atacantes. Ela apresenta uma versão armada do hackshell e técnicas avançadas de evasão.
Cyble Research and Intelligence Labs (CRIL) anunciou a descoberta do ShadowHS em 30 de janeiro de 2026. Este framework de pós-exploração visa ambientes Linux, operando inteiramente em memória para evitar deixar vestígios em disco. Diferente de malware convencional, o ShadowHS usa um carregador de shell criptografado que implanta um hackshell modificado, descriptografado com criptografia AES-256-CBC, salto de bytes Perl e descompressão gzip. A carga útil é executada via /proc//fd/ com um argv[0] falsificado, garantindo nenhum artefato de filesystem. Uma vez implantado, o ShadowHS foca em reconhecimento inicial, incluindo fingerprinting de ferramentas de segurança do host como CrowdStrike, Tanium, Sophos e Microsoft Defender, bem como agentes de nuvem e OT/ICS. Ele avalia compromissos anteriores e integridade do kernel para ajudar os operadores a avaliar a postura de segurança do sistema. O CRIL descreve o framework como centrado no operador, com comportamento de runtime restrito que permite ativação seletiva de capacidades como acesso a credenciais, movimento lateral, escalada de privilégios, mineração de cripto e exfiltração de dados. > «O ShadowHS demonstra uma clara separação entre atividade de runtime restrita e capacidades dormentes extensas», nota o CRIL. «Isso é indicativo de uma plataforma de pós-exploração orientada pelo operador deliberadamente, em vez de malware automatizado.» Para exfiltração de dados, o ShadowHS emprega túneis em espaço de usuário sobre GSocket, contornando canais de rede padrão e firewalls. Variantes incluem túneis baseados em DBus e estilo netcat, que mantêm carimbos de data/hora de arquivos, permissões e estados de transferência parcial. Módulos dormentes cobrem despejo de memória para credenciais, movimento baseado em SSH com varredura de força bruta, exploits de kernel para escalada e mineração via XMRig, GMiner e lolMiner. Ele também inclui medidas anti-competição para terminar rivais como Rondo, Kinsing e backdoors Ebury. O framework destaca vulnerabilidades nas defesas do Linux, onde antivírus tradicionais falham contra ameaças em memória. O CRIL enfatiza a necessidade de monitoramento de comportamento de processos, telemetria de kernel e inteligência proativa para combater tais ferramentas adaptativas. > «O ShadowHS representa um framework Linux totalmente controlado pelo operador, adaptativo, projetado para furtividade e acesso de longo prazo», afirmou o CRIL. Esta descoberta sublinha ameaças em evolução para sistemas Linux, particularmente em configurações empresariais e de infraestrutura crítica.
