Negli ultimi mesi, il panorama della sicurezza informatica è stato scosso dalla scoperta che hacker stanno sfruttando una versione trapelata di Shellter Elite, uno strumento legittimo utilizzato abitualmente dai team di red teaming, per diffondere malware come Lumma Stealer e SectopRAT. Shellter è noto tra i professionisti della sicurezza per la sua capacità di aiutare a bypassare software antivirus e di rilevamento sugli endpoint, ma il rilascio non autorizzato di una licenza commerciale ha reso l’appetibile tool una potente arma anche per i criminali informatici.

Il problema della licenza trapelata

Il problema è sorto quando una copia di Shellter Elite, acquistata legalmente da un’azienda, è stata accidentalmente resa pubblica, permettendo così ai cybercriminali di utilizzarla per confezionare payload malevoli. Da aprile 2025, si sono moltiplicati gli attacchi informatici che includono Lumma Stealer, Rhadamanthys Stealer e SectopRAT, tutti distribuiti tramite versioni mascherate del tool. Queste campagne sono state spesso favorite da esche rivolte a content creator e gamer, come presunti mod per giochi popolari o offerte di sponsorizzazione, e tramite file ospitati su servizi come MediaFire.

Offuscamento e tecniche di elusione

Le versioni modificate di Shellter sfruttano tecniche di offuscamento polimorfico e shellcode self-modifying per inserirsi all’interno di programmi legittimi, eludendo così le scansioni basate su firme statiche. Questo rende particolarmente insidioso il rilevamento dei malware veicolati attraverso questa modalità, abbassando la soglia di allerta degli strumenti di sicurezza tradizionali.

Strumenti dual use sotto attacco

L’episodio richiama alla mente casi simili di abuso di strumenti come Cobalt Strike e Brute Ratel, anch’essi nati per testare la sicurezza delle reti aziendali e poi divenuti spesso protagonisti di campagne cybercriminali. Nonostante le misure di controllo delle licenze e i processi di verifica adottati dai produttori di Shellter, la fuga di una copia ha evidenziato le difficoltà nel proteggere strumenti dual use da un impiego malevolo.

Risposta e misure future

La controversia è stata amplificata dalla tempistica e dalla modalità di divulgazione della scoperta da parte dei ricercatori, che hanno pubblicato rapidamente i dettagli per avvisare la comunità della sicurezza, mentre il team di Shellter avrebbe preferito ricevere un preavviso per poter intervenire tempestivamente. Il team di sviluppo di Shellter ha annunciato l’intenzione di rafforzare i meccanismi DRM, al fine di rendere più difficile la distribuzione non autorizzata del software, sottolineando che l’evento non è stato causato da una vulnerabilità tecnica, ma da una gestione impropria della licenza da parte di un utente.

La lezione principale è che, nonostante gli sforzi dell’industria, la perdita di controllo su strumenti potenti può avere impatti reali sulla sicurezza globale, offrendo ai criminali strumenti sempre più sofisticati per aggirare le difese delle aziende.