Malware Showboat
Pesquisadores de cibersegurança descobriram um framework de malware para Linux, até então desconhecido, chamado Showboat, que vem sendo ativamente utilizado contra um provedor de telecomunicações no Oriente Médio desde pelo menos meados de 2022. O malware opera como um kit de ferramentas modular de pós-exploração, capaz de permitir acesso remoto ao shell, transferência de arquivos e funcionamento como um proxy SOCKS5 em ambientes comprometidos.
Analistas de segurança acreditam que o malware está ligado a um ou mais grupos de ameaças associados à China. Investigadores identificaram conexões entre a infraestrutura de Comando e Controle (C2) do malware e endereços IP rastreados até Chengdu, capital da província de Sichuan, na China, reforçando as suspeitas de envolvimento patrocinado pelo Estado chinês.
Índice
Conexões com operações de ameaça estabelecidas ligadas à China
Um dos grupos associados à atividade é o Calypso, também conhecido como Bronze Medley e Red Lamassu. O grupo de ameaças está ativo desde pelo menos setembro de 2016 e historicamente tem como alvo entidades governamentais e institucionais no Brasil, Índia, Cazaquistão, Rússia, Tailândia e Turquia. Os primeiros relatos públicos sobre o grupo vieram à tona em 2019, por meio de uma pesquisa publicada pela Positive Technologies.
O Calypso já utilizou famílias de malware como o PlugX, além de backdoors como o WhiteBird e o BYEBY. O malware BYEBY pertence a um cluster operacional maior chamado Mikroceen, que também foi associado ao cluster de ameaças SixLittleMonkeys. Os pesquisadores também observaram semelhanças táticas entre o SixLittleMonkeys e outra operação alinhada à China, conhecida como Webworm.
O surgimento do Showboat ao lado de frameworks compartilhados como PlugX, ShadowPad e NosyDoor destaca uma tendência mais ampla entre os agentes de ameaças com ligações com a China: a reutilização e distribuição de ferramentas cibernéticas ofensivas entre múltiplos grupos de espionagem. Esse padrão sugere fortemente a existência de um "intendente digital" centralizado, responsável por fornecer malware e recursos operacionais a operadores apoiados por Estados.
As capacidades avançadas de backdoor do Linux levantam sérias preocupações.
A investigação começou depois que pesquisadores analisaram um arquivo binário ELF carregado em maio de 2025, inicialmente classificado como um backdoor Linux altamente sofisticado com funcionalidade semelhante a um rootkit. A amostra de malware também é rastreada sob o nome EvaRAT.
Embora o vetor de infecção preciso permaneça desconhecido, intrusões anteriores do Calypso envolveram a implantação de web shells ASPX após a exploração de vulnerabilidades ou o comprometimento de contas de acesso remoto padrão. O grupo também esteve entre os primeiros agentes de ameaças chineses a explorar a vulnerabilidade CVE-2021-26855, a falha do Microsoft Exchange Server que formou o estágio inicial da notória cadeia de exploração ProxyLogon.
O Showboat foi projetado para estabelecer comunicação com servidores C2 remotos, coletar informações detalhadas do sistema e transmitir os dados coletados de forma criptografada e codificada em Base64, ocultos em campos PNG. O malware também oferece uma série de recursos de furtividade e operacionais, incluindo:
- Funcionalidade de upload e download de arquivos
- Técnicas de ocultação de processos
- Gerenciamento de servidor C2
- Varredura de rede interna
- Tunelamento proxy SOCKS5 para movimento lateral
Para evitar a detecção em hosts comprometidos, o Showboat recupera um trecho de código do Pastebin, e os pesquisadores rastrearam o conteúdo hospedado até 11 de janeiro de 2022. Os analistas acreditam que o principal objetivo do malware é garantir acesso persistente dentro de redes-alvo, particularmente sistemas isolados da exposição direta à internet e acessíveis apenas por meio de conexões LAN internas.
A expansão da infraestrutura revela vítimas internacionais.
Uma análise mais aprofundada da infraestrutura de ameaças revelou múltiplas organizações vítimas em diversas regiões. Os pesquisadores identificaram um provedor de serviços de internet com sede no Afeganistão e uma organização adicional não identificada localizada no Azerbaijão. Um segundo conjunto de servidores de comando e controle (C2) que compartilhavam certificados X.509 semelhantes também apontou para possíveis comprometimentos que afetaram entidades nos Estados Unidos e na Ucrânia.
A implantação contínua de malware persistente demonstra que, apesar do crescente uso de técnicas furtivas de "aproveitamento do ambiente" por muitos agentes maliciosos, grupos avançados ainda dependem fortemente de backdoors personalizados para acesso de longo prazo e controle operacional. Especialistas em segurança alertam que a descoberta de malware como o Showboat deve ser tratada como um indicador crítico de comprometimento potencialmente mais amplo nas redes afetadas.
JFMBackdoor expande a campanha para além dos sistemas Linux.
Além do Showboat, os pesquisadores observaram o Calypso implantando um malware completo para Windows, conhecido como JFMBackdoor, durante ataques direcionados ao setor de telecomunicações do Afeganistão. O malware é distribuído por meio de carregamento lateral de DLLs, uma técnica que explora aplicativos legítimos para carregar bibliotecas de vínculo dinâmico maliciosas.
A cadeia de infecção começa com um script em lote que executa um arquivo executável confiável, o qual, por sua vez, carrega o payload DLL malicioso. Uma vez ativo, o JFMBackdoor fornece aos atacantes amplo controle operacional sobre os sistemas comprometidos. Suas funcionalidades incluem:
- Execução remota de shell
O foco no Afeganistão e em sua infraestrutura de telecomunicações está alinhado aos objetivos estratégicos mais amplos anteriormente associados às operações Red Lamassu, reforçando as avaliações de que a campanha faz parte de um esforço maior de ciberespionagem ligado à atividade de ameaças chinesas.
