Cyble Research and Intelligence Labs har avslöjat ShadowHS, ett sofistikerat filfritt ramverk för post-exploatering på Linux-system. Verktyget möjliggör smygande minnesoperationer och långvarig åtkomst för angripare. Det innehåller en beväpnad version av hackshell och avancerade undvikande teknikker.
Cyble Research and Intelligence Labs (CRIL) meddelade upptäckten av ShadowHS den 30 januari 2026. Detta post-exploateringsramverk riktar sig mot Linux-miljöer och arbetar helt i minnet för att undvika att lämna spår på disk. Till skillnad från konventionell skadlig kod använder ShadowHS en krypterad shell-laddare som distribuerar en modifierad hackshell, dekrypterad med AES-256-CBC-kryptering, Perl-byte-hoppning och gzip-dekomprimering. Lasten körs via /proc//fd/ med en förfalskad argv[0], vilket säkerställer inga filerystemartefakter. När det är distribuerat fokuserar ShadowHS på initial rekognosering, inklusive fingeravtryckstagning av värdsäkerhetsverktyg som CrowdStrike, Tanium, Sophos och Microsoft Defender, samt moln- och OT/ICS-agenter. Det bedömer tidigare kompromisser och kärnintegritet för att hjälpa operatörer att utvärdera systemets säkerhetsposition. CRIL beskriver ramverket som operatörscentrerat, med begränsat körbeteende som tillåter selektiv aktivering av funktioner som autentiseringsuppgifteråtkomst, laterell rörelse, privilegieskalning, kryptomining och dataexfiltrering. > «ShadowHS visar en tydlig separation mellan begränsad köraktivitet och omfattande vilande funktioner», noterar CRIL. «Detta indikerar en avsiktlig operatördriven post-exploateringsplattform snarare än automatiserad skadlig kod.» För dataexfiltrering använder ShadowHS användarrums-tunnlar över GSocket, och kringgår standardnätverkskanaler och brandväggar. Variantar inkluderar DBus-baserade och netcat-stil tunnlar, som bibehåller filstämplar, behörigheter och partiella överföringstillstånd. Vilande moduler täcker minnesdumpning för autentiseringsuppgifter, SSH-baserad rörelse med brute-force-skanning, kärneexploits för skalning och mining via XMRig, GMiner och lolMiner. Det inkluderar även anti-konkurrensåtgärder för att avsluta rivaler som Rondo, Kinsing och Ebury-backdoors. Ramverket belyser sårbarheter i Linux-försvar, där traditionella antivirus misslyckas mot minneshot. CRIL betonar behovet av processbeteendemonitorering, kärntelemetri och proaktiv underrättelseverksamhet för att motverka sådana adaptiva verktyg. > «ShadowHS representerar ett fullt operatörkontrollerat, adaptivt Linux-ramverk designat för smyg och långvarig åtkomst», uppgav CRIL. Denna upptäckt understryker utvecklande hot mot Linux-system, särskilt i företags- och kritisk infrastrukturmiljöer.
