Showboat-skadevare
Forskere innen nettsikkerhet har avdekket et tidligere udokumentert Linux-rammeverk for skadelig programvare kjent som Showboat, som har blitt aktivt distribuert mot en telekommunikasjonsleverandør i Midtøsten siden minst midten av 2022. Skadevaren fungerer som et modulært verktøysett etter utnyttelse som kan muliggjøre ekstern shell-tilgang, overføre filer og fungere som en SOCKS5-proxy i kompromitterte miljøer.
Sikkerhetsanalytikere mener at skadevaren er knyttet til en eller flere trusselklynger tilknyttet Kina. Etterforskere identifiserte forbindelser mellom skadevarens kommando- og kontrollinfrastruktur (C2) og IP-adresser sporet til Chengdu, hovedstaden i Kinas Sichuan-provins, noe som styrker mistanken om kinesisk statsstøttet involvering.
Innholdsfortegnelse
Forbindelser til etablerte trusseloperasjoner med tilknytning til Kina
En av gruppene som er tilknyttet aktiviteten er Calypso, også kjent som Bronze Medley og Red Lamassu. Trusselaktøren har vært aktiv siden minst september 2016 og har historisk sett rettet seg mot myndigheter og institusjonelle enheter i Brasil, India, Kasakhstan, Russland, Thailand og Tyrkia. Offentlig rapportering om gruppen dukket først opp i 2019 gjennom forskning publisert av Positive Technologies.
Calypso har tidligere benyttet seg av skadevarefamilier som PlugX, samt bakdører som WhiteBird og BYEBY. BYEBY-skadevaren tilhører en større operasjonell klynge kalt Mikroceen, som også har blitt koblet til trusselklyngen SixLittleMonkeys. Forskere bemerket videre taktiske likheter mellom SixLittleMonkeys og en annen Kina-tilknyttet operasjon kjent som Webworm.
Fremveksten av Showboat sammen med delte rammeverk som PlugX, ShadowPad og NosyDoor fremhever en bredere trend blant trusselaktører med tilknytning til Kina: gjenbruk og distribusjon av offensive cyberverktøy på tvers av flere spionasjegrupper. Dette mønsteret tyder sterkt på eksistensen av en sentralisert «digital kvartermester» som er ansvarlig for å levere skadelig programvare og operative ressurser til statsstøttede operatører.
Avanserte Linux-bakdørfunksjoner gir alvorlige bekymringer
Etterforskningen startet etter at forskere analyserte en ELF-binærfil lastet opp i mai 2025, som opprinnelig ble kategorisert som en svært avansert Linux-bakdør med rootkit-lignende funksjonalitet. Malware-eksemplet spores også under navnet EvaRAT.
Selv om den nøyaktige infeksjonsvektoren fortsatt er ukjent, har tidligere Calypso-innbrudd involvert utplassering av ASPX-webshell etter å ha utnyttet sårbarheter eller kompromittert standardkontoer for ekstern tilgang. Gruppen var også blant de tidligste kinesiske trusselaktørene som utnyttet CVE-2021-26855, Microsoft Exchange Server-feilen som dannet den første fasen av den beryktede ProxyLogon-angrepskjeden.
Showboat er konstruert for å etablere kommunikasjon med eksterne C2-servere, samle inn detaljert systeminformasjon og overføre de innsamlede dataene i kryptert og Base64-kodet form skjult i PNG-felt. Skadevaren støtter også en rekke stealth- og driftsfunksjoner, inkludert:
- Funksjonalitet for filopplasting og -nedlasting
- Teknikker for prosessskjuling
- C2-serveradministrasjon
- Intern nettverksskanning
- SOCKS5 proxy-tunneling for lateral bevegelse
For å unngå å bli oppdaget på kompromitterte verter, henter Showboat en kodebit fra Pastebin, og forskere sporer det vertsbaserte innholdet tilbake til 11. januar 2022. Analytikere mener at skadevarens primære mål er å sikre vedvarende tilgang i målrettede nettverk, spesielt systemer isolert fra direkte internetteksponering og kun tilgjengelige via interne LAN-tilkoblinger.
Utvidelse av infrastruktur avslører internasjonale ofre
Videre undersøkelse av trusselinfrastrukturen avdekket flere offerorganisasjoner som spredte seg over flere regioner. Forskerne identifiserte en internettleverandør basert i Afghanistan og en ytterligere uidentifisert organisasjon lokalisert i Aserbajdsjan. En sekundær klynge av C2-servere som delte lignende X.509-sertifikater pekte også på mulige kompromitteringer som påvirket enheter i USA og Ukraina.
Den fortsatte utplasseringen av vedvarende malware-implantater viser at, til tross for den økende bruken av mer snikende «living off the land»-teknikker av mange trusselaktører, er avanserte grupper fortsatt sterkt avhengige av tilpassede bakdører for langsiktig tilgang og driftskontroll. Sikkerhetseksperter advarer om at oppdagelsen av malware som Showboat bør behandles som en kritisk indikator på potensielt bredere kompromisser i berørte nettverk.
JFMBackdoor utvider kampanjen utover Linux-systemer
I tillegg til Showboat observerte forskere at Calypso distribuerte et fullverdig Windows-malwareimplantat kjent som JFMBackdoor under angrep rettet mot Afghanistans telekommunikasjonssektor. Malwaren leveres via DLL-sidelasting, en teknikk som misbruker legitime applikasjoner til å laste inn ondsinnede dynamiske lenkebiblioteker.
Infeksjonskjeden starter med et batchskript som starter en pålitelig kjørbar fil, som deretter laster inn den uønskede DLL-nyttelasten. Når den er aktiv, gir JFMBackdoor angripere omfattende operasjonell kontroll over kompromitterte systemer. Funksjonaliteten inkluderer:
- Ekstern shell-kjøring
- Filbehandlingsoperasjoner
- Nettverksproxyfunksjoner
- Skjermbilde
- Selvfjerningsmekanismer
Fokuset på Afghanistan og landets telekommunikasjonsinfrastruktur samsvarer tett med de bredere strategiske målene som tidligere var knyttet til Red Lamassu-operasjonene, noe som forsterker vurderingene av at kampanjen er en del av en større cyberspionasjeinnsats knyttet til kinesisk trusselaktivitet.
