Shellter Elite, autrefois réservé aux professionnels de la cybersécurité, est aujourd’hui utilisé à des fins malveillantes. Plus qu’un simple détournement d’outil, c’est toute la relation fragile entre développeurs et chercheurs qui est remise en question.
Sommaire
Un outil professionnel tombé dans de mauvaises mains
Début juillet, les chercheurs d’Elastic Security Labs ont révélé une fuite majeure : l’outil Shellter Elite, conçu à l’origine pour les red teams, est désormais utilisé pour propager plusieurs malwares. À l’origine, cet outil permettait aux équipes d’audit de simuler des attaques dans des environnements contrôlés. Il s’agissait d’un loader sophistiqué capable d’injecter des charges malveillantes dans des exécutables légitimes, en contournant les antivirus et les EDR les plus avancés.
Sa particularité réside dans sa capacité à intégrer n’importe quel fichier exécutable portable, tout en facilitant la communication avec des frameworks C2, outils de commande à distance permettant de contrôler des machines compromises. Une arme puissante donc, à la fois pour les pentesters éthiques… et pour les pirates.
Détournement confirmé : les infostealers se multiplient
Malgré un accès réglementé, une version commerciale de Shellter Elite a fuité. Résultat : plusieurs groupes malveillants s’en servent pour diffuser des logiciels espions comme Rhadamanthys, ArechClient2 ou encore Sectop RAT. Les attaques se propagent notamment par commentaires YouTube et par campagnes de phishing, des méthodes tristement classiques.
La publication du rapport par Elastic a mis en lumière ces détournements. Mais au-delà des usages frauduleux, c’est la façon dont l’information a été révélée qui a déclenché la polémique.
Alerte lancée sans concertation : une gestion contestée
Shellter Project, l’équipe de développement derrière Shellter Elite, n’a pas été prévenue de la fuite avant la parution du rapport. Pire encore, selon eux, Elastic aurait identifié le logiciel bien avant, sans jamais partager ses observations. Shellter affirme qu’une mise à jour du moteur de détection d’Elastic ciblait déjà Shellter Elite v11.0 dès début juin.
En réponse à cette détection, une version 11.1 renforcée avait été développée par Shellter, mais elle n’a pas été diffusée. Cette précaution s’est révélée utile, car la fuite n’avait pas encore été clairement identifiée. Depuis, cette nouvelle version n’est accessible qu’à un nombre limité de clients certifiés.
Soupçons d’analyse sans autorisation
Plus grave encore : Shellter Project soupçonne Elastic d’avoir utilisé une version non autorisée du logiciel pour mener ses analyses. Si cela s’avérait exact, cela signifierait que des chercheurs en cybersécurité auraient eux-mêmes contourné les règles d’éthique qu’ils sont censés promouvoir. Les développeurs évoquent le niveau de détail très poussé du rapport, incompatible – selon eux – avec de simples analyses externes.
Elastic n’a pour l’instant pas répondu à ces accusations.
Le cas Shellter, énième exemple d’un problème récurrent
Le scénario n’est pas inédit. Cobalt Strike, Metasploit, Sliver, ou encore Brute Ratel ont tous été conçus à des fins éthiques avant d’être réutilisés par des groupes de cybercriminels. Ces outils sont souvent récupérés et utilisés dans des campagnes de ransomware, d’espionnage ou de vol de données.
Même des entités gouvernementales comme la NSA ont vu leurs créations détournées. Le cas le plus célèbre reste EternalBlue, qui a permis à WannaCry et NotPetya de paralyser des infrastructures à l’échelle mondiale. Aujourd’hui, la leçon reste la même : même les outils les mieux encadrés finissent par s’échapper.
Une coordination indispensable, mais absente
Le vrai danger n’est pas tant que ces outils soient détournés – c’est presque inévitable – mais qu’ils le soient sans réponse rapide et concertée. Quand chercheurs et développeurs ne communiquent pas, les délais de réaction s’allongent, les dégâts augmentent, et la confiance s’érode.
Dans le cas de Shellter, une simple alerte envoyée en amont aurait permis au développeur de bloquer certains usages ou de mettre en place des correctifs. Au lieu de cela, la publication du rapport a pris tout le monde de court, laissant Shellter Project sans possibilité d’agir préventivement.
Le dilemme éthique des chercheurs en sécurité
Les chercheurs en cybersécurité marchent sur une ligne fine. D’un côté, leur mission est de protéger le plus grand nombre en rendant publiques certaines menaces. De l’autre, une divulgation irresponsable peut nuire à ceux qui travaillent à la défense.
Ici, Shellter Project reproche à Elastic de s’être servi du rapport comme d’un levier de visibilité, sans se soucier des conséquences sur l’éditeur de l’outil. Ce type de comportement, s’il se répète, pourrait pousser les développeurs à devenir plus fermés, à limiter leurs échanges, voire à restreindre la publication d’outils pourtant utiles à la communauté.
Vers une nouvelle guerre froide dans la cybersécurité
Le cas Shellter montre que le fossé se creuse entre ceux qui développent des outils et ceux qui les analysent. Cette fracture, si elle n’est pas comblée, menace l’équilibre fragile de l’écosystème de la cybersécurité offensive. La confiance est déjà faible, la communication souvent fragmentaire. Il est pourtant essentiel que ces deux camps coopèrent pour limiter les abus et contenir les fuites.
L’histoire de Shellter Elite n’est donc pas seulement celle d’un outil détourné. C’est un signal d’alarme. Une invitation à repenser les modes de collaboration et les responsabilités de chacun dans un monde où les lignes entre attaque et défense sont de plus en plus floues.
