自 2018 年以来，ShellClient 恶意软件以航空航天业为目标

ShellClient 恶意软件是一种新发现的远程访问木马，但它已经使用了两年多。其背后的罪犯以别名 MalKamak 进行追踪，而这一特定活动的重点是间谍活动。恶意威胁行为者针对活跃在欧洲、俄罗斯、美国和中东的主要公司和机构。 ShellClient 恶意软件的惊人之处在于，由于其低活动性和巧妙的设计，它在最终被识别和剖析之前设法保持了两年多的关注。 ShellClient 恶意软件的主要目标似乎是航空航天和电信行业的一部分。

ShellClient 恶意软件在 2 年内发生了重大变化

ShellClient 恶意软件的最新版本可追溯到 2021 年 5 月——这是一个明确的迹象，表明其开发人员一直在定期发布其有效负载的更新。当然，恶意软件的所有活动实例都会自动更新到最新的可用版本。此活动的另一个奇特之处在于，黑客将恶意软件伪装成合法的RuntimeBroker.exe进程。后一个过程是处理 Microsoft Store 应用程序权限的合法 Windows 组件。

关于 ShellClient 恶意软件的另一件重要的事情是它的初始变体更加简约。事实上，它充当了一个基本的反向 shell，使攻击者能够执行远程命令。然而，在两年多的时间里，它经历了重大变化，变成了一个成熟的、模块化的远程访问木马。

由于间谍活动是该威胁的主要焦点，其主要特征涉及远程代码执行和数据泄露。如上所述，它具有自动更新功能和模块化结构，从而使操作员能够轻松管理植入物。