En otra instancia de los actores de amenaza que reutilizan las herramientas legítimas para fines maliciosos, se ha descubierto que los piratas informáticos están explotando una popular herramienta de equipo rojo llamada Shellter para distribuir el malware del Stealer. La compañía detrás del software dijo que una compañía que había comprado recientemente las licencias de Shellter Elite filtró su copia, lo que llevó a los actores maliciosos a armarse la herramienta para las campañas de InfoTealer. Desde entonces, se ha lanzado una actualización para conectar el problema. «A pesar de nuestro riguroso proceso de investigación, que ha impedido con éxito tales incidentes desde el lanzamiento de Shellter Pro Plus en febrero de 2023, ahora nos encontramos abordando esta desafortunada situación», dijo el equipo del Proyecto Shellter en un comunicado. La respuesta se produce poco después de que elastic Security Labs publicara un informe sobre cómo el marco de evasión comercial está siendo abusado en la naturaleza desde abril de 2025 para propagar Lumma Stealer, Rhadamanthys Stealer y Sectoprat (también conocido como ArechClient2). Shellter es una herramienta potente que permite a los equipos de seguridad ofensivos omitir el software antivirus y detección y respuesta de punto final (EDR) instalado en puntos finales. Elastic dijo que identificó múltiples campañas de Infente de Infente de Motivado Financieramente que usa Shellter para empaquetar las cargas útiles a fines de abril de 2025, con la actividad aprovechando a Shellter Elite versión 11.0 lanzado el 16 de abril de 2025. «Las muestras protegidas de Shellter comúnmente emplean Shellcode auto modificador con la obfuscación polimórfica a sí mismos dentro de los programas legítimos», dijo la compañía. «Esta combinación de instrucciones legítimas y código polimórfico ayuda a estos archivos a evadir la detección y las firmas estáticas, lo que les permite permanecer sin ser detectados». Se cree que algunas de las campañas, incluidas las que entregan sectoprat y robador de Rhadamanthys, adoptaron la herramienta después de que la versión 11 saliera a la venta en un popular foro de delitos cibernéticos a mediados de mayo, utilizando señuelos relacionados con oportunidades de patrocinio dirigidas a creadores de contenido, así como a través de videos de YouTube que reclaman a ofrecer modificaciones gaming como Fortnite trampa. Se dice que las cadenas de ataque de Lumma Staaler que aprovechan a Shellter, por otro lado, se diseminó a través de cargas útiles alojadas en Mediafire a fines de abril de 2025. Con versiones agrietadas de Cobalt Strike y Brute Ratel C4 anteriormente encontrando su camino hacia las manos de los ciberdriminales y los actores de estado nacional, no sería una sorpresa una sorpresa si Shellter siga un seguimiento similar. «A pesar de los mejores esfuerzos de la comunidad comercial de OST para retener sus herramientas para fines legítimos, los métodos de mitigación son imperfectos», dijo Elastic. «Aunque el proyecto Shellter es una víctima en este caso a través de la pérdida de propiedad intelectual y el tiempo de desarrollo futuro, otros participantes en el espacio de seguridad ahora deben lidiar con amenazas reales que manejan herramientas más capaces». Sin embargo, el proyecto Shellter criticó a Elastic por «priorizar la publicidad sobre la seguridad pública» y por actuar de una manera que dijo que era «imprudente y poco profesional» al no notificarles rápidamente. En una declaración compartida con The Hacker News, Elastic Security Labs dijo que se dio cuenta de la actividad potencialmente sospechosa el 18 de junio de 2025 y que está comprometido con «transparencia, investigación responsable y apertura». Toda la declaración de la compañía está a continuación: nuestra publicación de investigación, que describe varias amenazas motivadas financieramente y el marco comercial de evasión AV/EDR (Shellter), se realizó en línea con nuestro compromiso con la transparencia, la divulgación responsable y una mentalidad de defensor primero. El equipo de Elastic Security Labs se dio cuenta de la actividad potencialmente sospechosa el 18 de junio de 2025, y rápidamente comenzó a investigar los comportamientos que identificamos como actividades maliciosas previamente no detectadas utilizando información y telemetría públicamente disponibles voluntariamente por nuestros usuarios. Después de nuestra investigación inicial y después de un análisis riguroso, determinamos que la herramienta pública disponible, Shellter, se estaba utilizando para fines de evasión. Nuestros hallazgos fueron publicados dentro de las dos semanas de esta determinación. Publicamos nuestros hallazgos directa y transparentemente para informar a los defensores lo más rápido posible, al igual que el estándar de la industria y parte del trabajo para nuestros clientes y usuarios. Nuestra prioridad es informar a la comunidad de seguridad de manera rápida y precisa sobre nuestra investigación. Creemos que el interés público se sirve mejor revelando la investigación lo más rápido posible, una vez que se ha concluido un análisis exhaustivo, para ayudar a los defensores a responder a las amenazas emergentes, incluidas las técnicas utilizadas para evitar los controles de seguridad. Elastic Security Labs está compuesto por investigadores de malware, científicos de datos, ingenieros de seguridad ofensivos y analistas de inteligencia que han descubierto docenas de amenazas novedosas y Tradecraft adversario. Nuestro trabajo ayuda constantemente a las organizaciones a mantenerse a la vanguardia de las amenazas emergentes, y seguimos comprometidos con operar con profesionalismo, integridad y una mentalidad de defensor primero. (La historia se actualizó después de la publicación para incluir una respuesta de Elastic Security Labs.) ¿Encontró este artículo interesante? Síganos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.