MalwareUsed by 4 actorsExploits 3 CVEs

ShadowRelay

For your environment

Hunt this family in your stack

Mallory pivots from this family to the IOCs, detections, and named campaigns that touch your stack, and pages you when something new lands.

Start free trial

EXPLOITED CVES

Vulnerabilities exploited

3 CVEs Mallory has correlated with this family across public research and vendor advisories. Each row links to the full Mallory page for that vulnerability.

3 CVES

CVE-2021-34473ProxyShell pre-auth SSRF in Microsoft Exchange AutodiscoverExploited in the wild

...источником их заражения оказался почтовый сервер Exchange, который оказался скомпрометированным еще летом 2024 года с помощью эксплуатации цепочки уязвимостей ProxyShell (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207).

via rt solarrt-solar.ru

CVE-2021-31207Post-auth Arbitrary File Write in Microsoft Exchange Server (ProxyShell)Exploited in the wild

...эксплуатации цепочки уязвимостей ProxyShell (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207).

via rt solarrt-solar.ru

CVE-2021-34523Microsoft Exchange PowerShell Backend Elevation of Privilege (ProxyShell)Exploited in the wild

...эксплуатации цепочки уязвимостей ProxyShell (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207).

via rt solarrt-solar.ru

THREAT ACTORS

Groups observed using it

4 distinct threat actors attributed by public researchers. Open in Mallory to see the full evidence chain and overlapping campaigns.

View more details

Webworm

That paper named three more hashes as ShadowRelay samples and gave the AES keys plus a packet signature.

via github gist webgist.github.com

Space Pirates

...нам удалось найти новый модульный бэкдор ShadowRelay. Он позволяет загружать разные по функциональности плагины.

via rt solarrt-solar.ru

Obstinate Mogwai

via rt solarrt-solar.ru

Erudite Mogwai

via rt solarrt-solar.ru

MITRE ATT&CK

Techniques & procedures

10 distinct techniques documented for this family, organized by ATT&CK tactic.

Initial Access

1 technique

T1190Exploit Public-Facing ApplicationEvidence1

«…источником их заражения оказался почтовый сервер Exchange, который оказался скомпрометированным еще летом 2024 года с помощью эксплуатации цепочки уязвимостей ProxyShell (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207).»

Persistence

1 technique

T1543.003Windows ServiceEvidence1

«При запуске вредонос пытается установить себя в качестве сервиса. Если это не выходит, все равно запускает функцию main_routine.»

Privilege Escalation

2 techniques

T1055Process InjectionEvidence1

«…инъекция себя в другие процессы… параметр targetprocess… определяет имя процесса, в который будет инжектирован бэкдор. В случае успеха… основной процесс завершается.»

T1543.003Windows ServiceEvidence1

Stealth

3 techniques

T1055Process InjectionEvidence1

T1070.004File DeletionEvidence1

«Для самоудаления у бэкдора имеется специальная функция suicide… Для удаления файлов создается bat-файл, который через некоторое время удаляет нужный файл.»

T1622Debugger EvasionEvidence1

«Бэкдор также пытается обнаружить дебаггеры и песочницу… В случае провала проверок запускается функция самоликвидации.» / «send_pc_info… Проверяет наличие отладчиков… Если они присутствуют, завершает программу.»

Discovery

2 techniques

T1082System Information DiscoveryEvidence1

«Функция send_pc_info собирает и отправляет информацию о компьютере… При соединении бэкдоры обмениваются системной информацией…» / пример: IP, MAC, hostname, username, path/hash

T1622Debugger EvasionEvidence1

Command and Control

4 techniques

T1071Application Layer ProtocolEvidence2

metadata:MITRE T1071;

T1090ProxyEvidence1

«…может поддерживать связь с другими имплантами, которые, например, не имеют подключения к интернету… позволяет ему… шпионить в защищенных сегментах… общаясь через сеть зараженных машин.»

T1105Ingress Tool TransferEvidence2

This confirms the actor delivers tools through operator-controlled open directories, not mass-mail or drive-by chains.

T1572Protocol TunnelingEvidence1

«…функциональность переиспользования портов. Для этого нужен драйвер WinDivert… Используя уже открытые и разрешенные порты, вредоносное ПО может скрывать свое сетевое взаимодействие… и для обхода межсетевого экрана…»

INDICATORS OF COMPROMISE

IOCs tracked for this family

12 indicators attributed across vendor reports, sandbox runs, and researcher write-ups. Full values are available in Mallory.

View more in app

Network

2 tracked

IPs, domains, and DNS infrastructure linked to this family.

Hashes

10 tracked

File hashes (MD5, SHA-1, SHA-256) from samples and reports.

TypeValueLatest sighting

hash.md5●●●●●●●●●●●●View more in app1 month ago

hash.sha256●●●●●●●●●●●●View more in app1 month ago

ip.v4●●●●●●●●●●●●View more in app1 month ago

hash.sha256●●●●●●●●●●●●View more in app1 month ago

ip.v4●●●●●●●●●●●●View more in app1 month ago

hash.sha256●●●●●●●●●●●●View more in app1 month ago

ACTIVITY FEED

Recent activity

2 sources tracked across advisories, community write-ups, and news. New activity surfaces here as Mallory finds it.

2 SOURCESView more in app

rt solarNews

Jan 2, 2026

ShadowRelay: новый модульный бэкдор в госсекторе - Анализ Solar 4RAYS

New modular backdoor/implant found on a compromised Microsoft Exchange server. It supports client/server modes, loads PE plugins in-memory (plugin_init/plugin_task/plugin_deinit), can inject into a target process, includes anti-debug/sandbox checks and a self-delete routine, and can optionally hide C2 by reusing allowed ports via WinDivert-based packet diversion. Designed for stealthy long-term presence and espionage, including relaying communications through other infected hosts in segmented networks without direct Internet access.

What this page doesn’t show

The version that knows your environment.

This page is what’s public. Mallory adds the parts that aren’t: which of your assets match these IOCs, which detections are missing, which campaigns to expect next, and what to do in the next 30 minutes.

Start free trial

IOC matching12

Match every observed IP, domain, and hash against your live telemetry.

Threat actor attribution4

Named campaigns wielding this family, with evidence pinned to each claim.

Exploited vulnerabilities3

CVEs this family uses for access and lateral movement.

Detection signatures

YARA, Sigma, Snort, and vendor rules, auto-deployed to your SIEM.

MITRE ATT&CK mapping10

Every documented technique, ranked by evidence weight.

Researcher chatter

Reddit, Mastodon, and CTI community discussion around this family.