Programari maliciós de Showboat
Investigadors de ciberseguretat han descobert un marc de programari maliciós per a Linux que no havia estat documentat prèviament, conegut com a Showboat, i que s'ha implementat activament contra un proveïdor de telecomunicacions a l'Orient Mitjà des d'almenys mitjans del 2022. El programari maliciós funciona com un conjunt d'eines modulars de postexplotació capaç de permetre l'accés remot a l'intèrpret d'ordres, transferir fitxers i funcionar com a proxy SOCKS5 dins d'entorns compromesos.
Els analistes de seguretat creuen que el programari maliciós està vinculat a un o més clústers d'amenaces associats amb la Xina. Els investigadors van identificar connexions entre la infraestructura de comandament i control (C2) del programari maliciós i les adreces IP rastrejades fins a Chengdu, la capital de la província xinesa de Sichuan, cosa que reforça les sospites d'una implicació patrocinada per l'estat xinès.
Taula de continguts
Connexions amb operacions d’amenaces establertes vinculades a la Xina
Un dels grups associats amb l'activitat és Calypso, també conegut com a Bronze Medley i Red Lamassu. L'actor ha estat actiu des d'almenys el setembre del 2016 i històricament ha atacat entitats governamentals i institucionals del Brasil, l'Índia, el Kazakhstan, Rússia, Tailàndia i Turquia. Els primers informes públics sobre el grup van aparèixer el 2019 a través d'una investigació publicada per Positive Technologies.
Anteriorment, Calypso s'havia basat en famílies de programari maliciós com PlugX, juntament amb portes del darrere com ara WhiteBird i BYEBY. El programari maliciós BYEBY pertany a un clúster operatiu més gran anomenat Mikroceen, que també s'ha vinculat al clúster d'amenaces SixLittleMonkeys. Els investigadors també van observar similituds tàctiques entre SixLittleMonkeys i una altra operació alineada amb la Xina coneguda com a Webworm.
L'aparició de Showboat juntament amb marcs de treball compartits com PlugX, ShadowPad i NosyDoor destaca una tendència més àmplia entre els actors d'amenaces vinculats a la Xina: la reutilització i distribució d'eines cibernètiques ofensives entre múltiples grups d'espionatge. Aquest patró suggereix fermament l'existència d'un "intendent digital" centralitzat responsable de subministrar programari maliciós i recursos operatius als operadors recolzats per l'estat.
Les capacitats avançades de les portes del darrere de Linux plantegen greus preocupacions
La investigació va començar després que els investigadors analitzessin un binari ELF carregat el maig de 2025 que inicialment es va classificar com una porta del darrere de Linux altament avançada amb funcionalitat similar a un rootkit. La mostra de programari maliciós també es rastreja amb el nom EvaRAT.
Tot i que el vector d'infecció precís continua sent desconegut, les intrusions anteriors de Calypso han implicat el desplegament de shells web ASPX després d'explotar vulnerabilitats o comprometre comptes d'accés remot predeterminats. El grup també va ser un dels primers actors d'amenaces xinesos a utilitzar com a arma CVE-2021-26855, la falla de Microsoft Exchange Server que va formar l'etapa inicial de la coneguda cadena d'explotacions ProxyLogon.
Showboat està dissenyat per establir comunicació amb servidors C2 remots, recopilar informació detallada del sistema i transmetre les dades recollides en format xifrat i codificat en Base64 amagat dins dels camps PNG. El programari maliciós també admet una sèrie de funcions ocultes i operatives, com ara:
- Funcionalitat de càrrega i descàrrega de fitxers
- Tècniques d'ocultació de processos
- Gestió del servidor C2
- Escaneig de xarxa interna
- Túnel proxy SOCKS5 per a moviment lateral
Per evitar la detecció en hosts compromesos, Showboat recupera un fragment de codi de Pastebin, i els investigadors rastregen el contingut allotjat fins a l'11 de gener de 2022. Els analistes creuen que l'objectiu principal del programari maliciós és assegurar l'accés persistent dins de les xarxes objectiu, en particular els sistemes aïllats de l'exposició directa a Internet i accessibles només a través de connexions LAN internes.
L’ampliació de les infraestructures revela víctimes internacionals
Un examen més detallat de la infraestructura d'amenaces va descobrir múltiples organitzacions de víctimes que abastaven diverses regions. Els investigadors van identificar un proveïdor de serveis d'Internet amb seu a l'Afganistan i una altra organització no identificada ubicada a l'Azerbaidjan. Un clúster secundari de servidors C2 que compartien certificats X.509 similars també va assenyalar possibles compromisos que afectaven entitats dels Estats Units i Ucraïna.
El desplegament continu d'implants persistents de programari maliciós demostra que, malgrat l'ús creixent de tècniques més furtives per "viure de la terra" per part de molts actors d'amenaces, els grups avançats encara depenen en gran mesura de portes del darrere personalitzades per a l'accés a llarg termini i el control operatiu. Els experts en seguretat adverteixen que el descobriment de programari maliciós com ara Showboat s'ha de tractar com un indicador crític d'un compromís potencialment més ampli dins de les xarxes afectades.
JFMBackdoor amplia la campanya més enllà dels sistemes Linux
A més de Showboat, els investigadors van observar que Calypso implementava un implant de programari maliciós de Windows amb totes les funcions conegut com a JFMBackdoor durant atacs dirigits al sector de les telecomunicacions de l'Afganistan. El programari maliciós es distribueix mitjançant la càrrega lateral de DLL, una tècnica que abusa de les aplicacions legítimes per carregar biblioteques d'enllaç dinàmic malicioses.
La cadena d'infecció comença amb un script per lots que inicia un executable de confiança, que posteriorment carrega la càrrega útil de la DLL no autoritzada. Un cop actiu, JFMBackdoor proporciona als atacants un ampli control operatiu sobre els sistemes compromesos. La seva funcionalitat inclou:
- Execució remota de shell
- Operacions de gestió d'arxius
- Capacitats del proxy de xarxa
- Captura de pantalla
- Mecanismes d'autoeliminació
L'enfocament en l'Afganistan i la seva infraestructura de telecomunicacions s'alinea estretament amb els objectius estratègics més amplis que s'havien associat anteriorment amb les operacions de Red Lamassu, cosa que reforça les avaluacions que la campanya forma part d'un esforç de ciberespionatge més ampli vinculat a l'activitat d'amenaces xineses.
