Showboat Malware
Cercetătorii în domeniul securității cibernetice au descoperit un framework de malware Linux nedocumentat anterior, cunoscut sub numele de Showboat, care a fost implementat activ împotriva unui furnizor de telecomunicații din Orientul Mijlociu cel puțin de la mijlocul anului 2022. Malware-ul funcționează ca un set de instrumente modular post-exploatare, capabil să permită accesul de la distanță la shell, transferul de fișiere și să funcționeze ca un proxy SOCKS5 în medii compromise.
Analiștii în domeniul securității cred că malware-ul este legat de unul sau mai multe clustere de amenințări asociate cu China. Anchetatorii au identificat conexiuni între infrastructura de comandă și control (C2) a malware-ului și adresele IP urmărite până la Chengdu, capitala provinciei Sichuan din China, ceea ce întărește suspiciunile de implicare susținută de statul chinez.
Cuprins
Conexiuni cu operațiuni de amenințare consacrate, legate de China
Unul dintre grupurile asociate cu această activitate este Calypso, cunoscut și sub numele de Bronze Medley și Red Lamassu. Actorul amenințător este activ cel puțin din septembrie 2016 și a vizat în mod tradițional entități guvernamentale și instituționale din Brazilia, India, Kazahstan, Rusia, Thailanda și Turcia. Relatările publice despre grup au apărut pentru prima dată în 2019, prin intermediul unor cercetări publicate de Positive Technologies.
Calypso s-a bazat anterior pe familii de malware precum PlugX, alături de backdoor-uri precum WhiteBird și BYEBY. Malware-ul BYEBY aparține unui cluster operațional mai mare, denumit Mikroceen, care a fost, de asemenea, asociat cu clusterul de amenințări SixLittleMonkeys. Cercetătorii au observat, de asemenea, asemănări tactice între SixLittleMonkeys și o altă operațiune aliniată cu China, cunoscută sub numele de Webworm.
Apariția Showboat alături de framework-uri comune precum PlugX, ShadowPad și NosyDoor evidențiază o tendință mai amplă în rândul actorilor de amenințare din contextul China-nexus: reutilizarea și distribuirea instrumentelor cibernetice ofensive către mai multe grupuri de spionaj. Acest model sugerează cu tărie existența unui „intendent digital” centralizat, responsabil de furnizarea de programe malware și resurse operaționale operatorilor susținuți de stat.
Capacitățile avansate ale backdoor-urilor Linux ridică îngrijorări serioase
Investigația a început după ce cercetătorii au analizat un fișier binar ELF încărcat în mai 2025, care a fost inițial clasificat drept un backdoor Linux extrem de avansat, cu funcționalitate de tip rootkit. Eșantionul de malware este, de asemenea, urmărit sub numele de EvaRAT.
Deși vectorul precis de infecție rămâne necunoscut, intruziunile anterioare Calypso au implicat implementarea de shell-uri web ASPX după exploatarea vulnerabilităților sau compromiterea conturilor implicite de acces la distanță. Grupul a fost, de asemenea, printre primii actori amenințători chinezi care au folosit ca armă CVE-2021-26855, defectul Microsoft Exchange Server care a format etapa inițială a notoriului lanț de exploatări ProxyLogon.
Showboat este conceput pentru a stabili comunicarea cu servere C2 la distanță, a colecta informații detaliate despre sistem și a transmite datele colectate în formă criptată și codificată Base64, ascunsă în câmpuri PNG. Malware-ul suportă, de asemenea, o serie de funcții stealth și operaționale, inclusiv:
- Funcționalitate de încărcare și descărcare a fișierelor
- Tehnici de ascundere a proceselor
- Administrarea serverului C2
- Scanare internă a rețelei
- Tunelarea proxy SOCKS5 pentru mișcare laterală
Pentru a evita detectarea pe gazdele compromise, Showboat recuperează un fragment de cod din Pastebin, cercetătorii urmărind conținutul găzduit până la 11 ianuarie 2022. Analiștii cred că obiectivul principal al malware-ului este de a securiza accesul persistent în interiorul rețelelor vizate, în special în sistemele izolate de expunerea directă la internet și accesibile doar prin conexiuni LAN interne.
Extinderea infrastructurii dezvăluie victime internaționale
O examinare suplimentară a infrastructurii amenințărilor a scos la iveală multiple organizații victime din mai multe regiuni. Cercetătorii au identificat un furnizor de servicii de internet cu sediul în Afganistan și o altă organizație neidentificată situată în Azerbaidjan. Un grup secundar de servere C2 care partajează certificate X.509 similare a indicat, de asemenea, posibile compromisuri care afectează entități din Statele Unite și Ucraina.
Implementarea continuă a implanturilor persistente de programe malware demonstrează că, în ciuda utilizării tot mai frecvente a unor tehnici mai discrete de „trăi pe seama terenurilor” de către mulți actori amenințători, grupurile avansate se bazează încă în mare măsură pe backdoor-uri personalizate pentru acces pe termen lung și control operațional. Experții în securitate avertizează că descoperirea unor programe malware precum Showboat ar trebui tratată ca un indicator critic al unei compromisări potențial mai ample în cadrul rețelelor afectate.
JFMBackdoor extinde campania dincolo de sistemele Linux
Pe lângă Showboat, cercetătorii au observat că Calypso implementează un implant de malware Windows complet funcțional, cunoscut sub numele de JFMBackdoor, în timpul atacurilor care vizau sectorul telecomunicațiilor din Afganistan. Malware-ul este livrat prin încărcare laterală DLL, o tehnică ce abuzează de aplicații legitime pentru a încărca biblioteci de legături dinamice malițioase.
Lanțul de infectare începe cu un script batch care lansează un executabil de încredere, care ulterior încarcă DLL-ul necinstit. Odată activ, JFMBackdoor oferă atacatorilor control operațional extins asupra sistemelor compromise. Funcționalitățile sale includ:
- Executarea shell-ului la distanță
- Operațiuni de gestionare a fișierelor
- Capacități de proxy de rețea
- Captură de ecran
- Mecanisme de auto-îndepărtare
Accentul pus pe Afganistan și infrastructura sa de telecomunicații se aliniază îndeaproape cu obiectivele strategice mai largi asociate anterior operațiunilor Red Lamassu, întărind evaluările conform cărora campania face parte dintr-un efort mai amplu de spionaj cibernetic legat de activitatea de amenințare chineză.
