ShadowRelay
Hunt this family in your stack
Mallory pivots from this family to the IOCs, detections, and named campaigns that touch your stack, and pages you when something new lands.
Vulnerabilities exploited
3 CVEs Mallory has correlated with this family across public research and vendor advisories. Each row links to the full Mallory page for that vulnerability.
...источником их заражения оказался почтовый сервер Exchange, который оказался скомпрометированным еще летом 2024 года с помощью эксплуатации цепочки уязвимостей ProxyShell (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207).
...эксплуатации цепочки уязвимостей ProxyShell (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207).
...эксплуатации цепочки уязвимостей ProxyShell (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207).
Groups observed using it
4 distinct threat actors attributed by public researchers. Open in Mallory to see the full evidence chain and overlapping campaigns.
That paper named three more hashes as ShadowRelay samples and gave the AES keys plus a packet signature.
...нам удалось найти новый модульный бэкдор ShadowRelay. Он позволяет загружать разные по функциональности плагины.
...нам удалось найти новый модульный бэкдор ShadowRelay. Он позволяет загружать разные по функциональности плагины.
...нам удалось найти новый модульный бэкдор ShadowRelay. Он позволяет загружать разные по функциональности плагины.
Techniques & procedures
10 distinct techniques documented for this family, organized by ATT&CK tactic.
Initial Access
1 technique«…источником их заражения оказался почтовый сервер Exchange, который оказался скомпрометированным еще летом 2024 года с помощью эксплуатации цепочки уязвимостей ProxyShell (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207).»
Persistence
1 techniquePrivilege Escalation
2 techniques«…инъекция себя в другие процессы… параметр targetprocess… определяет имя процесса, в который будет инжектирован бэкдор. В случае успеха… основной процесс завершается.»
Stealth
3 techniques«…инъекция себя в другие процессы… параметр targetprocess… определяет имя процесса, в который будет инжектирован бэкдор. В случае успеха… основной процесс завершается.»
«Для самоудаления у бэкдора имеется специальная функция suicide… Для удаления файлов создается bat-файл, который через некоторое время удаляет нужный файл.»
Discovery
2 techniques«Функция send_pc_info собирает и отправляет информацию о компьютере… При соединении бэкдоры обмениваются системной информацией…» / пример: IP, MAC, hostname, username, path/hash
Command and Control
4 techniques«…может поддерживать связь с другими имплантами, которые, например, не имеют подключения к интернету… позволяет ему… шпионить в защищенных сегментах… общаясь через сеть зараженных машин.»
This confirms the actor delivers tools through operator-controlled open directories, not mass-mail or drive-by chains.
«…функциональность переиспользования портов. Для этого нужен драйвер WinDivert… Используя уже открытые и разрешенные порты, вредоносное ПО может скрывать свое сетевое взаимодействие… и для обхода межсетевого экрана…»
IOCs tracked for this family
12 indicators attributed across vendor reports, sandbox runs, and researcher write-ups. Full values are available in Mallory.
IPs, domains, and DNS infrastructure linked to this family.
File hashes (MD5, SHA-1, SHA-256) from samples and reports.
Recent activity
2 sources tracked across advisories, community write-ups, and news. New activity surfaces here as Mallory finds it.
The version that knows your environment.
Match every observed IP, domain, and hash against your live telemetry.
Named campaigns wielding this family, with evidence pinned to each claim.
CVEs this family uses for access and lateral movement.
YARA, Sigma, Snort, and vendor rules, auto-deployed to your SIEM.
Every documented technique, ranked by evidence weight.
Reddit, Mastodon, and CTI community discussion around this family.