Showboat-malware
Cybersikkerhedsforskere har afdækket et tidligere udokumenteret Linux-malwareframework kendt som Showboat, som aktivt har været anvendt mod en telekommunikationsudbyder i Mellemøsten siden mindst midten af 2022. Malwaren fungerer som et modulært værktøjssæt efter udnyttelse, der er i stand til at muliggøre fjernadgang via shell, overføre filer og fungere som en SOCKS5-proxy i kompromitterede miljøer.
Sikkerhedsanalytikere mener, at malwaren er knyttet til en eller flere trusselsgrupper med tilknytning til Kina. Efterforskere har identificeret forbindelser mellem malwarens kommando-og-kontrol (C2) infrastruktur og IP-adresser, der kan spores tilbage til Chengdu, hovedstaden i Kinas Sichuan-provins, hvilket styrker mistanken om kinesisk statsstøttet involvering.
Indholdsfortegnelse
Forbindelser til etablerede trusselsoperationer med tilknytning til Kina
En af de grupper, der er forbundet med aktiviteten, er Calypso, også kendt som Bronze Medley og Red Lamassu. Trusselsaktøren har været aktiv siden mindst september 2016 og har historisk set målrettet angrebet offentlige og institutionelle enheder i Brasilien, Indien, Kasakhstan, Rusland, Thailand og Tyrkiet. Offentlig rapportering om gruppen dukkede først op i 2019 gennem forskning offentliggjort af Positive Technologies.
Calypso har tidligere benyttet sig af malwarefamilier som PlugX, sammen med bagdøre, herunder WhiteBird og BYEBY. BYEBY-malwaren tilhører en større operationel klynge kaldet Mikroceen, som også er blevet forbundet med trusselsgruppen SixLittleMonkeys. Forskerne bemærkede yderligere taktiske ligheder mellem SixLittleMonkeys og en anden Kina-tilknyttet operation kendt som Webworm.
Fremkomsten af Showboat sammen med delte frameworks som PlugX, ShadowPad og NosyDoor fremhæver en bredere tendens blandt trusselsaktører med forbindelse til Kina: genbrug og distribution af offensive cyberværktøjer på tværs af flere spionagegrupper. Dette mønster tyder stærkt på eksistensen af en centraliseret 'digital kvartermester', der er ansvarlig for at levere malware og operationelle ressourcer til statsstøttede operatører.
Avancerede Linux-bagdørsfunktioner giver anledning til alvorlig bekymring
Undersøgelsen begyndte efter at forskere analyserede en ELF-binærfil, der blev uploadet i maj 2025, og som oprindeligt blev kategoriseret som en meget avanceret Linux-bagdør med rootkit-lignende funktionalitet. Malware-eksemplet spores også under navnet EvaRAT.
Selvom den præcise infektionsvektor stadig er ukendt, har tidligere Calypso-indbrud involveret implementering af ASPX-webshells efter udnyttelse af sårbarheder eller kompromittering af standard fjernadgangskonti. Gruppen var også blandt de tidligste kinesiske trusselsaktører, der brugte CVE-2021-26855 som våben, Microsoft Exchange Server-fejlen, der dannede den indledende fase af den berygtede ProxyLogon-angrebskæde.
Showboat er konstrueret til at etablere kommunikation med eksterne C2-servere, indsamle detaljerede systemoplysninger og overføre de indsamlede data i krypteret og Base64-kodet form skjult i PNG-felter. Malwaren understøtter også en række stealth- og operationelle funktioner, herunder:
- Funktionalitet til filupload og -download
- Teknikker til at skjule processen
- C2-serveradministration
- Intern netværksscanning
- SOCKS5 proxy-tunneling til lateral bevægelse
For at undgå at blive opdaget på kompromitterede værter, henter Showboat et kodestykke fra Pastebin, og forskere sporer det hostede indhold tilbage til 11. januar 2022. Analytikere mener, at malwarens primære mål er at sikre vedvarende adgang inden for målrettede netværk, især systemer, der er isoleret fra direkte interneteksponering og kun kan nås via interne LAN-forbindelser.
Udvidelse af infrastruktur afslører internationale ofre
Yderligere undersøgelse af trusselsinfrastrukturen afslørede flere offerorganisationer, der spænder over flere regioner. Forskerne identificerede en internetudbyder med base i Afghanistan og en yderligere uidentificeret organisation placeret i Aserbajdsjan. En sekundær klynge af C2-servere, der deler lignende X.509-certifikater, pegede også på mulige kompromitteringer, der påvirkede enheder i USA og Ukraine.
Den fortsatte udrulning af vedvarende malware-implantater viser, at på trods af den stigende brug af mere diskrete "living off the land"-teknikker fra mange trusselsaktører, er avancerede grupper stadig i høj grad afhængige af brugerdefinerede bagdøre for langsigtet adgang og operationel kontrol. Sikkerhedseksperter advarer om, at opdagelsen af malware som Showboat bør behandles som en kritisk indikator for potentielt bredere kompromittering inden for berørte netværk.
JFMBackdoor udvider kampagnen ud over Linux-systemer
Udover Showboat observerede forskere, at Calypso implementerede et fuldt udstyret Windows-malwareimplantat kendt som JFMBackdoor under angreb rettet mod Afghanistans telekommunikationssektor. Malwaren leveres via DLL-sideloading, en teknik, der misbruger legitime applikationer til at indlæse ondsindede dynamiske linkbiblioteker.
Infektionskæden starter med et batchscript, der starter en betroet eksekverbar fil, som efterfølgende indlæser den uønskede DLL-nyttelast. Når den er aktiv, giver JFMBackdoor angriberne omfattende operationel kontrol over kompromitterede systemer. Dens funktionalitet omfatter:
- Fjernudførelse af shell
Fokuset på Afghanistan og dets telekommunikationsinfrastruktur stemmer nøje overens med de bredere strategiske mål, der tidligere var forbundet med Red Lamassu-operationerne, hvilket forstærker vurderingerne af, at kampagnen er en del af en større cyberspionageindsats knyttet til kinesisk trusselsaktivitet.
