Showboat-malware
Onderzoekers op het gebied van cyberbeveiliging hebben een voorheen ongedocumenteerd Linux-malwareframework ontdekt, genaamd Showboat, dat sinds ten minste medio 2022 actief wordt ingezet tegen een telecomprovider in het Midden-Oosten. De malware functioneert als een modulaire toolkit voor na-exploitatie, waarmee toegang tot een shell op afstand mogelijk is, bestanden kunnen worden overgedragen en als SOCKS5-proxy kan worden gebruikt in gecompromitteerde omgevingen.
Beveiligingsanalisten vermoeden dat de malware gelinkt is aan een of meer dreigingsclusters die verband houden met China. Onderzoekers hebben verbanden gevonden tussen de command-and-control (C2)-infrastructuur van de malware en IP-adressen die te herleiden zijn naar Chengdu, de hoofdstad van de Chinese provincie Sichuan. Dit versterkt het vermoeden van betrokkenheid van de Chinese staat.
Inhoudsopgave
Verbindingen met gevestigde, aan China gelinkte dreigingsoperaties
Een van de groepen die bij deze activiteiten betrokken is, is Calypso, ook bekend als Bronze Medley en Red Lamassu. Deze dreigingsactor is minstens sinds september 2016 actief en heeft zich in het verleden gericht op overheidsinstanties en institutionele organisaties in Brazilië, India, Kazachstan, Rusland, Thailand en Turkije. De eerste publieke berichten over de groep verschenen in 2019 in onderzoek gepubliceerd door Positive Technologies.
Calypso heeft zich in het verleden beroepen op malwarefamilies zoals PlugX, samen met backdoors zoals WhiteBird en BYEBY. De BYEBY-malware behoort tot een groter operationeel cluster dat bekendstaat als Mikroceen, dat ook in verband is gebracht met het SixLittleMonkeys-dreigingscluster. Onderzoekers hebben bovendien tactische overeenkomsten opgemerkt tussen SixLittleMonkeys en een andere aan China gelieerde operatie, bekend als Webworm.
Het verschijnen van Showboat naast gedeelde frameworks zoals PlugX, ShadowPad en NosyDoor benadrukt een bredere trend onder cybercriminelen met connecties naar China: het hergebruik en de verspreiding van offensieve cybertools door meerdere spionagegroepen. Dit patroon wijst sterk op het bestaan van een gecentraliseerde 'digitale kwartiermeester' die verantwoordelijk is voor de levering van malware en operationele middelen aan door de staat gesteunde actoren.
Geavanceerde achterdeurmogelijkheden in Linux baren ernstige zorgen.
Het onderzoek begon nadat onderzoekers een ELF-binair bestand analyseerden dat in mei 2025 was geüpload en aanvankelijk werd gecategoriseerd als een zeer geavanceerde Linux-backdoor met rootkit-achtige functionaliteit. Het malwarebestand wordt ook gevolgd onder de naam EvaRAT.
Hoewel de precieze infectiemethode onbekend blijft, hebben eerdere Calypso-aanvallen gebruikgemaakt van ASPX-webshells na het exploiteren van kwetsbaarheden of het compromitteren van standaardaccounts voor toegang op afstand. De groep was ook een van de eerste Chinese cybercriminelen die CVE-2021-26855 misbruikte, de kwetsbaarheid in Microsoft Exchange Server die de eerste fase vormde van de beruchte ProxyLogon-exploitketen.
Showboat is ontworpen om te communiceren met externe C2-servers, gedetailleerde systeeminformatie te verzamelen en de verzamelde gegevens in versleutelde en Base64-gecodeerde vorm te verzenden, verborgen in PNG-velden. De malware ondersteunt ook een reeks stealth- en operationele functies, waaronder:
- Functionaliteit voor het uploaden en downloaden van bestanden
- Procesverbergingstechnieken
- C2-serverbeheer
- Interne netwerkscan
- SOCKS5 proxy-tunneling voor laterale beweging
Om detectie op gecompromitteerde hosts te omzeilen, haalt Showboat een codefragment op van Pastebin. Onderzoekers hebben de gehoste inhoud kunnen herleiden tot 11 januari 2022. Analisten denken dat het primaire doel van de malware is om permanente toegang te verkrijgen tot de beoogde netwerken, met name systemen die niet direct met het internet verbonden zijn en alleen bereikbaar zijn via interne LAN-verbindingen.
Uitbreiding van de infrastructuur legt internationale slachtoffers bloot
Nader onderzoek van de dreigingsinfrastructuur bracht meerdere slachtofferorganisaties in verschillende regio's aan het licht. Onderzoekers identificeerden een internetprovider in Afghanistan en een andere, niet nader genoemde organisatie in Azerbeidzjan. Een tweede cluster van C2-servers met vergelijkbare X.509-certificaten wees ook op mogelijke inbreuken die entiteiten in de Verenigde Staten en Oekraïne troffen.
De voortdurende inzet van persistente malware-implantaten toont aan dat, ondanks het toenemende gebruik van subtielere 'living off the land'-technieken door veel cybercriminelen, geavanceerde groepen nog steeds sterk afhankelijk zijn van op maat gemaakte backdoors voor langdurige toegang en operationele controle. Beveiligingsexperts waarschuwen dat de ontdekking van malware zoals Showboat moet worden beschouwd als een kritieke indicator van mogelijk wijdverspreide inbreuken binnen getroffen netwerken.
JFMBackdoor breidt de campagne uit naar systemen buiten Linux.
Naast Showboat observeerden onderzoekers dat Calypso een volledig functionele Windows-malware-implantatie genaamd JFMBackdoor inzette tijdens aanvallen op de Afghaanse telecommunicatiesector. De malware wordt verspreid via DLL-sideloading, een techniek die legitieme applicaties misbruikt om kwaadaardige dynamische linkbibliotheken te laden.
De infectieketen begint met een batchscript dat een vertrouwd uitvoerbaar bestand start, dat vervolgens de kwaadaardige DLL-payload laadt. Eenmaal actief, biedt JFMBackdoor aanvallers uitgebreide operationele controle over gecompromitteerde systemen. De functionaliteit omvat onder meer:
- Externe shell-uitvoering
De focus op Afghanistan en de telecommunicatie-infrastructuur van het land sluit nauw aan bij de bredere strategische doelstellingen die eerder al in verband werden gebracht met de operaties van Red Lamassu. Dit versterkt de inschatting dat de campagne onderdeel uitmaakt van een grotere cyber-spionage-operatie die verband houdt met Chinese dreigingsactiviteiten.
