Développé pour les red teams, Shellter Elite a fuité, et plusieurs groupes malveillants s’en servent déjà pour propager des infostealers. Mais ce n’est pas tant l’exploitation du logiciel qui fait scandale que la manière dont l’alerte a été lancée – sans prévenir les développeurs, et en braquant tout un pan de la communauté cyber.

Shellter Elite, l’outil de pen-test devenu cheval de Troie des hackers, relance la guerre froide entre chercheurs et développeurs. © babar ali 1233 / Shutterstock
Shellter Elite, l’outil de pen-test devenu cheval de Troie des hackers, relance la guerre froide entre chercheurs et développeurs. © babar ali 1233 / Shutterstock
L'info en 3 points
  • Shellter Elite, un outil de sécurité pour red teams, a fuité et est utilisé pour propager des malwares.
  • La fuite a été révélée par Elastic Security Labs sans prévenir les développeurs, causant une controverse.
  • Shellter Project critique le manque de coordination, soulignant l'importance d'une communication proactive en cybersécurité.

Début juillet, les chercheurs d’Elastic Security Labs ont publié les détails d’une fuite touchant Shellter Elite, un outil de sécurité offensive réservé aux professionnels. À peine quelques semaines après sa compromission, le logiciel se retrouvait déjà au cœur de campagnes malveillantes actives, utilisé pour diffuser plusieurs familles de malwares. En cause, une version commerciale récupérée par des tiers, malgré les garde-fous censés en limiter la distribution. Une affaire en apparence classique, mais dont la véritable controverse tient autant à l’exploitation de l’outil qu’à la manière dont l’incident a été révélé – au grand dam de ses développeurs.

Un outil pro détourné pour propager des infostealers

Si vous ne baignez pas dans la cybersécurité, il y a peu de chances que vous en ayez entendu parler. Mais vu la tournure prise par les événements, les choses pourraient vite changer. Pour la faire courte, Shellter Elite est loader professionnel développé à l’adresse des Red Teams, ces équipes de hackers éthiques chargées de simuler des cyberattaques en entreprise pour tester les capacités de défense internes.

Dans les grandes lignes, l’outil permet d’injecter une charge malveillante dans un exécutable légitime, de manière à déjouer les protections antivirus et EDR les plus élaborées. Il accepte n’importe quel code exécutable portable, ce qui permet d’y insérer des malwares sur mesure sans avoir à adapter le binaire hôte.

Et surtout, Shellter facilite la communication avec les outils de commande à distance utilisés par les pros de la sécurité offensive, les frameworks C2, qui permettent de prendre le contrôle de la machine ciblée, de recevoir des instructions ou d’exfiltrer des données. Très utile pour les pentesters. Et forcément très convoité par les cybercriminels, puisqu’il fournit aux attaquants un canal opérationnel clé en main, directement inspiré des techniques employées par les professionnels.

Évidemment, sur le papier, Shellter est strictement réservé à un usage éthique, et son accès est conditionné à un processus de validation. Sauf qu’une version de l’outil a fuité, et qu’elle est aujourd’hui exploitée dans des campagnes malveillantes actives. D’après les chercheurs d’Elastic Security Labs, plusieurs groupes ont commencé à s’en servir dès la fin du mois avril pour diffuser des infostealers comme Rhadamanthys, ArechClient2 ou Sectop RAT, essentiellement via des commentaires YouTube et des tentatives de phishing par mail. Une information rendue publique début juillet dans un rapport technique aussi complet que controversé.

Initialement utiliser pour mener des tests d'intrusion en milieu professionnel, Shellter Elite a été détourné par des groupes de hackers pour diffuser des infostealers. © amgun / Shutterstock
Initialement utiliser pour mener des tests d'intrusion en milieu professionnel, Shellter Elite a été détourné par des groupes de hackers pour diffuser des infostealers. © amgun / Shutterstock

Coordination zéro, tension maximale

Sans grande surprise, étant donné la gravité de la situation, Shellter Project n’a pas tardé à réagir. Selon ses propres termes, la fuite proviendrait d’un employé récemment licencié par son entreprise, dont la copie de Shellter Elite aurait été compromise peu après l’achat. Une première, affirme l’équipe, depuis la mise en place de son système de contrôle strict en février 2023.

La copie en question correspond à la version 11.0 de Shellter Elite, utilisée pour générer l’ensemble des charges malveillantes repérées par Elastic. Les chercheurs évoquent plusieurs échantillons aux indicateurs communs, tous rattachés à une même licence, ce que le développeur a fini par confirmer.

Mais le problème n’est pas tant que Shellter ait été détourné – d’autres outils comme Cobalt Strike, Sliver, Brute Ratel ou Metasploit ont connu le même sort. Ce qui fait polémique ici, c’est la gestion de l’alerte, alors que le développeur du projet affirme n’avoir jamais été informé de la fuite avant la parution du rapport.

Ironie de la situation, Shellter Project avait pourtant réagi en amont à une mise à jour du moteur de détection d’Elastic, déployée début juin, qui visait spécifiquement le comportement de Shellter Elite v11.0. Alertée par l'un de ses clients, l’équipe avait alors mis au point une nouvelle version, Shellter Elite 11.1, intégrant des capacités d’évasion renforcées, et finalisée en moins d’une heure.

Prévue pour être diffusée, cette version n’a finalement pas été déployée, le lancement ayant été repoussé pour des raisons indépendantes de l’incident. Une décision providentielle, puisqu'à ce moment-là, l’identité du compte fautif n’était pas encore connue, et une diffusion anticipée aurait permis à ce dernier d’accéder à une version encore plus furtive de l’outil. Depuis, Shellter Elite 11.1 n’a été transmise qu’à un cercle restreint de clients approuvés.

C’est donc cette absence de coordination qui aggrave, selon l'entreprise, les conséquences de la fuite. Une attitude jugée « imprudente et non professionnelle » par les équipes derrière Shellter, qui disent regretter de ne pas avoir pu corriger ou encadrer les usages problématiques avant l’emballement médiatique. Elles accusent ainsi Elastic d’avoir gardé le silence pendant plusieurs mois avant de publier leurs conclusions sans concertation, sacrifiant la coordination au profit de la visibilité.

Plus critique encore, Shellter Project soupçonne Elastic d’avoir pu se procurer une copie non autorisée du logiciel pour mener ses propres analyses en laboratoire, plutôt qu’à partir d’échantillons collectés sur le terrain. Une hypothèse non démontrée, mais étayée, selon eux, par le niveau de détail des observations partagées et par l’absence de toute licence accordée à Elastic. Ce qui sous-entendrait une instrumentalisation volontaire de l’outil à des fins de démonstration, et donc un comportement éthiquement discutable.

À ce jour, Elastic Security Labs n’a pas répondu à ces accusations.

La cybersécurité offensive, entre contrôle et débordement

Que des outils conçus pour des professionnels finissent entre de mauvaises mains n’a pas grand-chose de nouveau, hélas. À ce titre, Shellter Elite vient enrichir une liste déjà bien fournie, où figurent des noms aussi connus que Cobalt Strike, dont les versions piratées circulent depuis longtemps dans les campagnes de ransomware ou d’espionnage, ou EternalBlue, développé par la NSA, avant d’être récupéré par le groupe Shadow Brokers, puis exploité à grande échelle pour propager Petya et WannaCry, en 2017.

On pourrait aussi citer Sliver, framework open source détourné à plusieurs reprises, notamment par TA551 (Shathak) dans des campagnes de diffusion de malwares bancaires, mais aussi par des acteurs étatiques comme APT29 (Cozy Bear), impliqué dans des opérations d’espionnage en Europe et aux États-Unis. Ou encore Brute Ratel, outil offensif commercialisé comme alternative furtive à Cobalt Strike, aperçu dans des campagnes de ransomware menées par BlackBasta, et dans des opérations d’espionnage attribuées à Cozy Bear (encore).

Dans tous les cas, le constat est le même : ces outils légitimes finissent tôt ou tard par alimenter l’arsenal des hackers, et même les protocoles de vérification les plus stricts n’y changent pas grand-chose. À ce stade, la question n’est donc plus vraiment de savoir si ça dérape, mais plutôt quand, au profit de qui, et avec quelles conséquences. Car malgré les garde-fous, les licences éthiques et les intentions louables, le scénario est voué à se répéter.

C’est précisément pour cette raison que la coordination entre développeurs et chercheurs devrait être irréprochable. Si la menace ne peut être évitée, elle doit au moins pouvoir être contenue rapidement, ce qui suppose un minimum d’échanges en amont.

Et c’est bien ce qui a fait défaut dans l’affaire Shellter, avec d’un côté une équipe de développement qui découvre la fuite en même temps que tout le monde, et de l’autre des chercheurs qui publient sans prévenir, quitte à griller toute tentative de réponse coordonnée. Ce faisant, c’est non seulement la riposte qui s’en trouve fragilisée, mais aussi la confiance – déjà ténue – entre des acteurs censés, en théorie, travailler main dans la main.

Sources : Elastic Security Labs, Shelter Project

À découvrir
Meilleur antivirus, le comparatif en juillet 2025

27 juin 2025 à 09h45

Comparatifs services