Hacker verbreiten Lumma Stealer und SectopRAT über geleakte Shellter-Tool-Lizenz
Ein geleaktes Lizenzpaket der Pentest-Software Shellter Elite hat eine Welle neuer Infostealer-Kampagnen ausgelöst. Cyberkriminelle nutzen das legitime Red-Teaming-Werkzeug, um Schadsoftware wie Lumma Stealer und SectopRAT unbemerkt zu verbreiten. Die Entwickler sehen sich nun mit schwerwiegendem Missbrauch konfrontiert.
Wieder einmal wird deutlich, wie leicht legitime Sicherheitswerkzeuge in falsche Hände geraten können: Hacker missbrauchen aktuell das populäre Red-Teaming-Tool Shellter, um Infostealer-Malware in Umlauf zu bringen. Laut den Entwicklern der Software wurde eine kürzlich erworbene Lizenz der kostenpflichtigen Shellter-Elite-Edition geleakt – was es Angreifern ermöglicht, das Werkzeug für Schadkampagnen umzuwidmen. Mittlerweile wurde eine aktualisierte Version veröffentlicht, um die Schwachstelle zu schließen.
Trotz eines laut Entwicklerteam „strengen Prüfverfahrens“, das seit Einführung von Shellter Pro Plus im Februar 2023 zuverlässig Missbrauch verhindert habe, sei man nun mit einer „bedauerlichen Situation“ konfrontiert. Anlass zur öffentlichen Warnung bot ein aktueller Bericht von Elastic Security Labs, der eine Welle neuer Malware-Kampagnen seit April 2025 dokumentiert.
Lumma Stealer, Rhadamanthys und SectopRAT im Fokus
Shellter ist ein mächtiges Werkzeug, das Sicherheitsteams nutzen, um echte Angriffe zu simulieren und die Abwehrmechanismen von Unternehmen auf die Probe zu stellen. Es wurde speziell dafür entwickelt, gängige Schutzsysteme wie Antivirenprogramme und sogenannte Endpoint Detection and Response zu umgehen. Genau das macht es auch für Cyberkriminelle interessant: Laut Elastic haben mehrere Gruppen mit finanziellen Motiven die Shellter-Elite-Version 11.0 – veröffentlicht am 16. April 2025 – dafür genutzt, schädliche Programme zu tarnen und unbemerkt einzuschleusen.
Im Zentrum stehen dabei drei Malware-Familien: Lumma Stealer, Rhadamanthys Stealer und SectopRAT (auch bekannt als ArechClient2). „Mit Shellter geschützte Dateien enthalten häufig sich selbst verändernden Shellcode, der durch polymorphe Verschleierungstechniken unkenntlich gemacht wird“, erklärte das Unternehmen. „Diese Mischung aus echten Programmteilen und variierendem Schadcode erschwert die statische Analyse und Signaturerkennung – und hilft der Schadsoftware, unentdeckt zu bleiben.“
Verbreitung über YouTube, Sponsoring-Köder und MediaFire
Einige der Angriffskampagnen sollen Shellter genutzt haben, nachdem Version 11 Mitte Mai 2025 auf einem bekannten Forum für Cyberkriminalität veröffentlicht wurde. Die Täter lockten ihre Opfer mit gefälschten Sponsoring-Angeboten für Content Creator oder über YouTube-Videos, in denen angeblich Spielmodifikationen wie Fortnite-Cheats angeboten wurden.
Die Lumma-Stealer-Kampagnen hingegen nutzten Shellter bereits Ende April 2025. Die Schadprogramme wurden über Downloads verbreitet, die auf der Plattform MediaFire gehostet waren.
Eskalation trotz kommerzieller Schutzbemühungen
Die missbräuchliche Nutzung legitimer Offensive-Security-Tools ist nicht neu. Bereits zuvor waren gecrackte Versionen von Cobalt Strike und Brute Ratel C4 in die Hände von Cyberkriminellen und staatlich unterstützten Angreifern gelangt. Shellter scheint nun einem ähnlichen Pfad zu folgen – trotz aller Bemühungen, den Zugang auf seriöse Nutzer zu beschränken.
„Trotz aller Bemühungen der Offensive-Security-Community, ihre Werkzeuge nur für legitime Zwecke einzusetzen, bleiben Missbrauchsmöglichkeiten bestehen“, warnt Elastic. „Im aktuellen Fall ist das Shellter-Projekt selbst zum Opfer geworden – durch den Verlust geistigen Eigentums und zusätzliche Entwicklungsarbeit. Doch die eigentliche Herausforderung liegt nun bei der gesamten Sicherheitsbranche: Sie muss sich mit einer neuen Bedrohungslage auseinandersetzen, in der Angreifer Zugriff auf immer ausgefeiltere Werkzeuge haben.“
Konflikt zwischen Shellter-Team und Elastic eskaliert
Der Vorfall hat inzwischen auch zu Spannungen zwischen den beteiligten Akteuren geführt. Das Shellter-Team kritisierte Elastic öffentlich dafür, „Öffentlichkeit über Sicherheit gestellt“ zu haben. Die Sicherheitsanalysten hätten nicht schnell genug über den Missbrauch informiert, sondern sich auf mediale Aufmerksamkeit konzentriert – ein Vorgehen, das als „unverantwortlich und unprofessionell“ bezeichnet wurde.
Elastic Security Labs verteidigte sich in einer Stellungnahme: Man habe verdächtige Aktivitäten am 18. Juni 2025 bemerkt und setze sich für „Transparenz, verantwortungsvolle Forschung und Offenheit“ ein.
Hier das kurze Statement im Wortlaut:
„Elastic Security Labs weist die Kritik am Umgang mit den jüngsten Shellter-Funden zurück und betont, dass die Veröffentlichung der Forschungsergebnisse im Einklang mit den Grundsätzen von Transparenz, verantwortungsvoller Offenlegung und einer klaren Ausrichtung auf die Bedürfnisse von Verteidigern erfolgte.
Das Team sei am 18. Juni 2025 erstmals auf verdächtige Aktivitäten aufmerksam geworden. Die darauffolgende Untersuchung stützte sich auf öffentlich verfügbare Informationen sowie Telemetriedaten, die freiwillig von Nutzern bereitgestellt wurden. Nach eingehender Analyse kamen die Forscher zu dem Schluss, dass das öffentlich verfügbare Tool Shellter aktiv zur Umgehung von Sicherheitsmechanismen missbraucht wurde. Die Ergebnisse wurden innerhalb von zwei Wochen nach dieser Erkenntnis veröffentlicht.
Elastic betont, dass man Forschungsergebnisse schnell und direkt veröffentliche, um Sicherheitsteams so früh wie möglich zu informieren – im Einklang mit branchenüblichen Standards und im Sinne der eigenen Kunden und Nutzer. „Unser Ziel ist es, die Sicherheitsgemeinschaft zügig und fundiert über neue Bedrohungen zu informieren – insbesondere über Techniken, mit denen Angreifer Schutzmaßnahmen gezielt umgehen“, so das Unternehmen.
Shellter-Team reagiert: „Elastic hätte uns früher informieren sollen“
In einer ergänzenden Stellungnahme betont das Shellter-Projektteam, dass es grundsätzlich keinen Einwand gegen die Veröffentlichung der Erkenntnisse durch Elastic Security Labs habe. Man kritisiere jedoch, dass Elastic das Shelter-Team nicht zeitnah genug informiert habe, um rechtzeitig reagieren zu können.
„Für die Zukunft planen wir, unsere Entwicklungsressourcen gezielt auf die Verbesserung der Kopierschutzmechanismen (DRM) zu konzentrieren“, erklärte das Team am 10. Juli 2025. Zwar sei das aktuelle Problem nicht durch einen direkten Angriff auf den DRM-Schutz, sondern durch das Leaken einer legal erworbenen Lizenz entstanden – dennoch habe der Vorfall deutlich gemacht, dass zusätzliche Schutzmaßnahmen nötig seien.
Ziel der Shellter-Entwickler sei es nun, die Verbreitung nicht autorisierter Kopien deutlich zu erschweren – unabhängig davon, ob sie böswillig oder versehentlich in Umlauf gebracht werden.