Netcrook Logo
👤 KERNELWATCHER
🗓️ 02 Feb 2026  

Fantasma nel Kernel: il malware fileless ShadowHS infesta Linux aziendale

Una nuova razza di malware fileless, ShadowHS, si infiltra silenziosamente nei sistemi Linux con furtività, automazione e controllo a livello operatore.

Nelle ombre degli ambienti Linux enterprise, si aggira un nuovo avversario - uno che non tocca mai il disco, cambia volto e supera in astuzia la sicurezza tradizionale a ogni passo. Battezzato ShadowHS, questo avanzato malware fileless sta riscrivendo le regole dell’intrusione informatica, privilegiando furtività e persistenza rispetto agli attacchi mordi-e-fuggi. Gli esperti avvertono: non è il solito crypto-miner o una botnet. È un toolkit chirurgico per una compromissione paziente, guidata dall’operatore.

In breve

  • Progettazione fileless: ShadowHS gira interamente in memoria, lasciando su disco quasi nessuna traccia forense.
  • Controllato dall’operatore: Privilegia l’accesso manuale e furtivo rispetto ad attacchi automatizzati e rumorosi.
  • Evasione avanzata: Falsifica i nomi dei processi, verifica la presenza di strumenti di sicurezza e uccide malware rivali.
  • Movimento laterale: Usa brute-force SSH automatizzato e scansione delle porte per diffondersi nelle reti.
  • Esfiltrazione occulta: Sfrutta tunnel GSocket per far uscire i dati di nascosto, aggirando il monitoraggio di rete standard.

Dentro l’Ombra: anatomia di un attacco

ShadowHS rappresenta un salto significativo nel post-exploitation su Linux. A differenza del malware vecchia scuola che rilascia file o inizia subito a minare criptovalute, ShadowHS punta tutto su discrezione e controllo. L’infezione inizia con uno script shell pesantemente offuscato - il loader - che decritta il payload in memoria usando la cifratura AES-256. Dipendenze come OpenSSL, Perl e gzip vengono verificate al volo; non viene mai scritto nulla su disco, quindi l’antivirus convenzionale ha ben poche possibilità.

Una volta in esecuzione, ShadowHS si spaccia per processi legittimi (come Python3), mappando l’ambiente con precisione chirurgica. Esegue il fingerprinting dei più diffusi strumenti di sicurezza - CrowdStrike, Cortex XDR, Microsoft Defender e altri - scansionando sia i file sia i servizi in esecuzione. Se trova malware rivali come i miner Kinsing o le backdoor Ebury, li termina, assicurandosi il dominio esclusivo sull’host.

A differenza dei worm tipici, ShadowHS non ha fretta. Il suo comportamento a runtime è deliberatamente contenuto, e si concentra sulla raccolta di intelligence su utenti, difese e postura del sistema. Gli attaccanti mantengono un controllo interattivo, decidendo manualmente quando attivare i moduli di furto credenziali, escalation dei privilegi o mining di criptovalute. Il movimento laterale viene ottenuto tramite strumenti come RustScan per la discovery SSH e “spirit” per gli attacchi brute-force - ancora una volta, tutto automatizzato ma messo in scena con discrezione.

Forse l’aspetto più insidioso è il suo approccio all’esfiltrazione dei dati. Canali standard come SSH o SCP vengono evitati in favore di tunnel GSocket - trucchi in user-space che fanno sembrare le connessioni in uscita come innocuo traffico locale. Con l’esfiltrazione instradata attraverso un relay hardcoded, ShadowHS aggira firewall e monitor degli endpoint, rendendo il rilevamento un incubo.

I professionisti della sicurezza sono invitati a monitorare l’esecuzione anomala in memoria, lo spoofing degli argomenti di processo e l’attività GPU insolita. Gli strumenti basati su firme servono a poco; analisi comportamentale e scansione della memoria sono ormai difese essenziali.

Il futuro delle intrusioni su Linux?

ShadowHS è un campanello d’allarme. Sono finiti i tempi in cui le minacce Linux significavano miner rozzi o worm rumorosi. Gli avversari di oggi sono pazienti, tecnicamente competenti e focalizzati sulla compromissione enterprise di lungo periodo. Man mano che le tecniche fileless e il tradecraft da operatore diventano la nuova normalità, i difensori devono evolvere - oppure rischiare di lasciare che i fantasmi nel kernel infestino le loro reti a tempo indeterminato.

WIKICROOK

  • Malware fileless: Il malware fileless è un software malevolo che gira nella memoria di un computer, evitando l’archiviazione su disco e rendendo difficile il rilevamento da parte degli strumenti di sicurezza tradizionali.
  • Spoofing del nome del processo: Lo spoofing del nome del processo maschera i processi malevoli come legittimi cambiandone il nome, aiutando gli attaccanti a eludere il rilevamento da parte di utenti e strumenti di sicurezza.
  • Tunnel GSocket: Il Tunnel GSocket è uno strumento in user-space che crea canali cifrati e occulti per aggirare i controlli di rete, consentendo comunicazioni furtive tra endpoint.
  • Escalation dei privilegi: L’escalation dei privilegi si verifica quando un attaccante ottiene un accesso di livello superiore, passando da un account utente normale ai privilegi di amministratore su un sistema o una rete.
  • Movimento laterale: Il movimento laterale è quando gli attaccanti, dopo aver violato una rete, si spostano lateralmente per accedere ad altri sistemi o dati sensibili, ampliando controllo e raggio d’azione.
Fileless Malware ShadowHS Linux Security
KERNELWATCHER KERNELWATCHER
Linux Kernel Security Analyst
← Back to news