Malware Showboat

Alcuni ricercatori nel campo della sicurezza informatica hanno scoperto un framework malware per Linux precedentemente sconosciuto, noto come Showboat, che è stato attivamente utilizzato contro un fornitore di telecomunicazioni in Medio Oriente almeno dalla metà del 2022. Il malware opera come un toolkit modulare di post-sfruttamento in grado di consentire l'accesso remoto alla shell, trasferire file e funzionare come proxy SOCKS5 all'interno di ambienti compromessi.

Gli analisti della sicurezza ritengono che il malware sia collegato a uno o più cluster di minacce associati alla Cina. Gli investigatori hanno identificato connessioni tra l'infrastruttura di comando e controllo (C2) del malware e indirizzi IP riconducibili a Chengdu, capitale della provincia cinese del Sichuan, rafforzando i sospetti di un coinvolgimento sponsorizzato dallo stato cinese.

Collegamenti con operazioni terroristiche già consolidate e riconducibili alla Cina.

Uno dei gruppi associati a questa attività è Calypso, noto anche come Bronze Medley e Red Lamassu. Questo gruppo di hacker è attivo almeno dal settembre 2016 e ha storicamente preso di mira enti governativi e istituzionali in Brasile, India, Kazakistan, Russia, Thailandia e Turchia. Le prime segnalazioni pubbliche sul gruppo sono emerse nel 2019 grazie a una ricerca pubblicata da Positive Technologies.

Calypso si è precedentemente affidato a famiglie di malware come PlugX, insieme a backdoor tra cui WhiteBird e BYEBY. Il malware BYEBY appartiene a un cluster operativo più ampio denominato Mikroceen, che è stato anche collegato al cluster di minacce SixLittleMonkeys. I ricercatori hanno inoltre rilevato somiglianze tattiche tra SixLittleMonkeys e un'altra operazione allineata alla Cina nota come Webworm.

La comparsa di Showboat insieme a framework condivisi come PlugX, ShadowPad e NosyDoor evidenzia una tendenza più ampia tra gli attori delle minacce legate alla Cina: il riutilizzo e la distribuzione di strumenti informatici offensivi tra molteplici gruppi di spionaggio. Questo schema suggerisce fortemente l'esistenza di un "direttore generale digitale" centralizzato responsabile della fornitura di malware e risorse operative agli operatori sostenuti dallo Stato.

Le funzionalità avanzate di backdoor di Linux destano serie preoccupazioni

L'indagine è iniziata dopo che i ricercatori hanno analizzato un file binario ELF caricato nel maggio 2025, inizialmente classificato come una backdoor Linux altamente avanzata con funzionalità simili a quelle di un rootkit. Il campione di malware è anche noto con il nome di EvaRAT.

Sebbene il vettore di infezione preciso rimanga sconosciuto, le precedenti intrusioni di Calypso hanno comportato l'implementazione di web shell ASPX dopo aver sfruttato vulnerabilità o compromesso account di accesso remoto predefiniti. Il gruppo è stato anche tra i primi attori cinesi a sfruttare la vulnerabilità CVE-2021-26855, la falla di Microsoft Exchange Server che ha costituito la fase iniziale della famigerata catena di exploit ProxyLogon.

Showboat è progettato per stabilire una comunicazione con server C2 remoti, raccogliere informazioni dettagliate sul sistema e trasmettere i dati raccolti in forma crittografata e codificata in Base64, nascosti all'interno di campi PNG. Il malware supporta inoltre una serie di funzionalità di occultamento e operative, tra cui:

• Funzionalità di caricamento e download dei file
• Tecniche di occultamento del processo
• Gestione del server C2
• scansione della rete interna
• Tunneling proxy SOCKS5 per il movimento laterale

Per eludere il rilevamento sugli host compromessi, Showboat recupera un frammento di codice da Pastebin, e i ricercatori hanno rintracciato il contenuto ospitato fino all'11 gennaio 2022. Gli analisti ritengono che l'obiettivo principale del malware sia quello di garantire un accesso persistente all'interno delle reti prese di mira, in particolare ai sistemi isolati dall'esposizione diretta a Internet e raggiungibili solo tramite connessioni LAN interne.

L’espansione delle infrastrutture rivela vittime internazionali

Un'analisi più approfondita dell'infrastruttura di minaccia ha rivelato diverse organizzazioni vittime, dislocate in varie regioni. I ricercatori hanno identificato un fornitore di servizi internet con sede in Afghanistan e un'ulteriore organizzazione non identificata con sede in Azerbaigian. Un cluster secondario di server C2 che condividevano certificati X.509 simili ha inoltre indicato possibili compromissioni che interessavano entità negli Stati Uniti e in Ucraina.

La continua diffusione di malware persistenti dimostra che, nonostante il crescente utilizzo di tecniche più furtive e "di copertura" da parte di molti gruppi di hacker, i gruppi più avanzati continuano a fare ampio affidamento su backdoor personalizzate per l'accesso a lungo termine e il controllo operativo. Gli esperti di sicurezza avvertono che la scoperta di malware come Showboat dovrebbe essere considerata un indicatore critico di una potenziale compromissione più ampia all'interno delle reti colpite.

JFMBackdoor estende la campagna oltre i sistemi Linux

Oltre a Showboat, i ricercatori hanno osservato Calypso distribuire un malware completo per Windows, noto come JFMBackdoor, durante gli attacchi al settore delle telecomunicazioni afghano. Il malware viene diffuso tramite il side-loading di DLL, una tecnica che sfrutta le applicazioni legittime per caricare librerie di collegamento dinamico dannose.

La catena di infezione inizia con uno script batch che avvia un eseguibile attendibile, il quale a sua volta carica il payload DLL dannoso. Una volta attivo, JFMBackdoor fornisce agli aggressori un ampio controllo operativo sui sistemi compromessi. Le sue funzionalità includono:

• Esecuzione remota della shell
• operazioni di gestione dei file

• Funzionalità proxy di rete

• Acquisizione schermata

• meccanismi di auto-rimozione

L'attenzione rivolta all'Afghanistan e alle sue infrastrutture di telecomunicazione si allinea strettamente con i più ampi obiettivi strategici precedentemente associati alle operazioni di Red Lamassu, rafforzando la valutazione secondo cui la campagna fa parte di un più ampio sforzo di spionaggio informatico legato alle attività di minaccia cinesi.