VShell

¿Qué es?

VShell, también conocido como V-Shell, es una herramienta legítima de hacking ofensivo (HackTool) de uso dual, que se usa como troyano de acceso remoto (RAT) y de puerta trasera (backdoor) y como framework de mando y control (C2). No se trata de un malware en sí mismo, pero los ciberdelincuentes la utilizan para llevar a cabo actividades maliciosas y, en detección y respuesta a incidentes, se trata como malware que actúa, funcionalmente, como RAT y como backdoor.

El objetivo de esta herramienta se centra en dar control remoto de los sistemas comprometidos a los atacantes y facilitar la gestión post-compromiso, el movimiento lateral, el pivotado de red y el proxying del tráfico. Por ello, mediante payloads de post-explotación, genera y gestiona shells y puertas traseras para operar sesiones en paralelo tras una intrusión y cumplir con su propósito.

¿Qué hace?

Esta herramienta tiene capacidad para realizar las siguientes acciones:

• Permite a los atacantes ejecutar comandos arbitrarios en los sistemas afectados.
• Permite subir y descargar archivos entre los equipos comprometidos y la infraestructura de servidores de mando y control (C2) de los atacantes.
• Se utiliza como plataforma de mando y control (C2) para administrar equipos comprometidos, especialmente en fases de post-explotación.
• Facilita el pivotado de red, el proxying operativo y relé de tráfico para favorecer el movimiento lateral dentro de las redes víctimas.
• Permite la ejecución sólo en memoria y el camuflado como procesos o servicios legítimos (como [kworker/0:2] en Linux) para dificultar su detección.
• Se asocia a actividades de reconocimiento, despliegue de webshells, movimiento lateral y robo y exfiltración de datos.

Sistemas afectados

Los principales dispositivos afectados son:

• Dispositivos con sistemas Microsoft Windows.
• Dispositivos con sistemas Linux.
• Dispositivos con sistemas macOS.

¿Cómo me infecta?

Los atacantes acceden a los dispositivos con esta herramienta a través de campañas de phishing y spear phishing con archivos adjuntos maliciosos, a través de descargas de sitios web comprometidos y a través de la explotación de vulnerabilidades y fallos de seguridad expuestos a Internet.

Cómo desinfectar mi equipo

Las principales firmas de antivirus contienen reglas para detectar y eliminar este malware: accede a los cleaners genéricos y accede a los cleaners para macOS.

Más información

• Vshell: A Chinese-Language Alternative to Cobalt Strike (Censys)
• VShell and SparkRAT Observed in Exploitation of BeyondTrust Critical Vulnerability (CVE-2026-1731) (Palo Alto)
• The Silent, Fileless Threat of VShell (Trellix)
• VShell (Hunt Intelligence)
• HEUR:Backdoor.Linux.Vshell.a (Kaspersky)
• Trojan:Linux/VShell.B!MTB (Microsoft)
• VShell (Malpedia)