自 2018 年以來，ShellClient 惡意軟件以航空航天業為目標

ShellClient 惡意軟件是一種新發現的遠程訪問木馬，但它已經使用了兩年多。其背後的罪犯以別名 MalKamak 進行追踪，而這一特定活動的重點是間諜活動。惡意威脅行為者針對活躍在歐洲、俄羅斯、美國和中東的主要公司和機構。 ShellClient 惡意軟件的驚人之處在於，由於其低活動性和巧妙的設計，它在最終被識別和剖析之前設法保持了兩年多的關注。 ShellClient 惡意軟件的主要目標似乎是航空航天和電信行業的一部分。

ShellClient 惡意軟件在 2 年內發生了重大變化

ShellClient 惡意軟件的最新版本可追溯到 2021 年 5 月——這是一個明確的跡象，表明其開發人員一直在定期發布其有效負載的更新。當然，惡意軟件的所有活動實例都會自動更新到最新的可用版本。此活動的另一個奇特之處在於，黑客將惡意軟件偽裝成合法的RuntimeBroker.exe進程。後一個過程是處理 Microsoft Store 應用程序權限的合法 Windows 組件。

關於 ShellClient 惡意軟件的另一件重要的事情是它的初始變體更加簡約。事實上，它充當了一個基本的反向 shell，使攻擊者能夠執行遠程命令。然而，在兩年多的時間裡，它經歷了重大變化，變成了一個成熟的、模塊化的遠程訪問木馬。

由於間諜活動是該威脅的主要焦點，其主要特徵涉及遠程代碼執行和數據洩露。如上所述，它具有自動更新功能和模塊化結構，從而使操作員能夠輕鬆管理植入物。