Pesquisadores de cibersegurança descobriram uma nova ferramenta de pós-exploração chamada Splinter, desenvolvida em linguagem de programação Rust, que foi detectada em vários sistemas de clientes, conforme relatado pela Palo Alto Networks Unit 42. A ferramenta, usada para operações de red team, é capaz de explorar vulnerabilidades em redes de organizações.

Embora não seja tão avançada quanto ferramentas conhecidas, como o Cobalt Strike, o Splinter ainda pode representar uma ameaça significativa se for mal utilizado. Segundo Dominik Reichel, da Unit 42, o Splinter possui recursos comuns em ferramentas de teste de penetração, incluindo execução de comandos no Windows, injeção de processos remotos, upload e download de arquivos, coleta de informações de contas de serviços em nuvem e capacidade de se autodestruir no sistema.

Apesar de ainda não haver evidências de que a ferramenta tenha sido associada a atores mal-intencionados, o fato de ter sido encontrada em sistemas de clientes levanta preocupações sobre seu uso indevido por criminosos. A ferramenta é configurada para se comunicar com um servidor de comando e controle (C2) usando HTTPS, semelhante a outras ferramentas de pós-exploração.

A Splinter segue um modelo baseado em tarefas, no qual o malware obtém instruções do servidor C2 para executar suas funções maliciosas. Embora a origem do Splinter ainda seja desconhecida, o fato da ferramenta estar disponível e pronta para ser utilizada reforça a necessidade das organizações estarem sempre preparadas com medidas de detecção e prevenção.