Showboat-skadlig programvara
Cybersäkerhetsforskare har avslöjat ett tidigare odokumenterat ramverk för skadlig kod för Linux, känt som Showboat, som aktivt har använts mot en telekommunikationsleverantör i Mellanöstern sedan åtminstone mitten av 2022. Skadlig kod fungerar som en modulär verktygslåda efter utnyttjande som kan möjliggöra fjärråtkomst via skal, överföra filer och fungera som en SOCKS5-proxy i komprometterade miljöer.
Säkerhetsanalytiker tror att skadlig programvara är kopplad till ett eller flera hotkluster med koppling till Kina. Utredare identifierade kopplingar mellan skadlig programvarans kommando- och kontrollinfrastruktur (C2) och IP-adresser som kan spåras till Chengdu, huvudstaden i Kinas Sichuan-provins, vilket stärker misstankarna om kinesisk statsstödd inblandning.
Innehållsförteckning
Kopplingar till etablerade hotoperationer med kopplingar till Kina
En av grupperna som är kopplade till aktiviteten är Calypso, även känd som Bronze Medley och Red Lamassu. Hotaktören har varit aktiv sedan åtminstone september 2016 och har historiskt sett riktat in sig på myndigheter och institutionella enheter i Brasilien, Indien, Kazakstan, Ryssland, Thailand och Turkiet. Offentlig rapportering om gruppen dök först upp 2019 genom forskning publicerad av Positive Technologies.
Calypso har tidigare förlitat sig på familjer av skadliga program som PlugX, tillsammans med bakdörrar som WhiteBird och BYEBY. BYEBY-skadliga programmen tillhör ett större operativt kluster som kallas Mikroceen, vilket också har kopplats till hotklustret SixLittleMonkeys. Forskare noterade vidare taktiska likheter mellan SixLittleMonkeys och en annan Kina-allierad operation som kallas Webworm.
Showboats framväxt tillsammans med delade ramverk som PlugX, ShadowPad och NosyDoor belyser en bredare trend bland hotaktörer med kopplingar till Kina: återanvändning och distribution av offensiva cyberverktyg över flera spiongrupper. Detta mönster tyder starkt på att det finns en centraliserad "digital kvartermästare" som ansvarar för att tillhandahålla skadlig programvara och operativa resurser till statsstödda operatörer.
Avancerade bakdörrsfunktioner i Linux väcker allvarliga farhågor
Utredningen inleddes efter att forskare analyserat en ELF-binärfil som laddades upp i maj 2025 och som ursprungligen kategoriserades som en mycket avancerad Linux-bakdörr med rootkit-liknande funktionalitet. Skadlig kod-exemplet spåras också under namnet EvaRAT.
Även om den exakta infektionsvektorn fortfarande är okänd, har tidigare Calypso-intrång involverat utplacering av ASPX-webbskal efter att ha utnyttjat sårbarheter eller komprometterat standardkonton för fjärråtkomst. Gruppen var också bland de tidigaste kinesiska hotaktörerna som använde CVE-2021-26855 som ett vapen, Microsoft Exchange Server-felet som utgjorde det inledande steget i den ökända ProxyLogon-attackkedjan.
Showboat är konstruerad för att upprätta kommunikation med fjärranslutna C2-servrar, samla in detaljerad systeminformation och överföra den insamlade datan i krypterad och Base64-kodad form dold i PNG-fält. Skadlig programvara stöder också en rad smygande och operativa funktioner, inklusive:
- Funktioner för filuppladdning och nedladdning
- Processdöljningstekniker
- C2-serverhantering
- Intern nätverksskanning
- SOCKS5 proxy-tunneling för lateral rörelse
För att undvika upptäckt på komprometterade värdar hämtar Showboat ett kodavsnitt från Pastebin, och forskare spårar det värdbaserade innehållet tillbaka till den 11 januari 2022. Analytiker tror att skadlig programvarans primära mål är att säkra permanent åtkomst inom riktade nätverk, särskilt system som är isolerade från direkt internetexponering och endast nåbara via interna LAN-anslutningar.
Utbyggande infrastruktur avslöjar internationella offer
Vidare undersökning av hotinfrastrukturen avslöjade flera offerorganisationer som spridde sig över flera regioner. Forskarna identifierade en internetleverantör baserad i Afghanistan och ytterligare en oidentifierad organisation belägen i Azerbajdzjan. Ett sekundärt kluster av C2-servrar som delar liknande X.509-certifikat pekade också på möjliga komprometter som påverkade enheter i USA och Ukraina.
Den fortsatta spridningen av ihållande skadlig kod visar att trots den ökande användningen av mer smygande "levande av landet"-tekniker av många hotaktörer, förlitar sig avancerade grupper fortfarande starkt på anpassade bakdörrar för långsiktig åtkomst och operativ kontroll. Säkerhetsexperter varnar för att upptäckten av skadlig kod som Showboat bör behandlas som en kritisk indikator på potentiellt bredare kompromettering inom drabbade nätverk.
JFMBackdoor utökar kampanjen bortom Linux-system
Utöver Showboat observerade forskare hur Calypso distribuerade ett fullt fungerande Windows-implantat som kallas JFMBackdoor under attacker riktade mot Afghanistans telekommunikationssektor. Skadlig programvara levereras via DLL-sidoladdning, en teknik som missbrukar legitima applikationer för att ladda skadliga dynamiska länkbibliotek.
Infektionskedjan börjar med ett batchskript som startar en betrodd körbar fil, som sedan laddar den falska DLL-nyttolasten. När den är aktiv ger JFMBackdoor angripare omfattande operativ kontroll över komprometterade system. Dess funktionalitet inkluderar:
- Fjärrstyrd skalkörning
- Filhanteringsåtgärder
- Nätverksproxyfunktioner
- Skärmdump
- Självborttagningsmekanismer
Fokus på Afghanistan och dess telekommunikationsinfrastruktur ligger nära i linje med de bredare strategiska mål som tidigare förknippats med Röda Lamassu-operationerna, vilket förstärker bedömningarna att kampanjen ingår i en större cyberspionageinsats kopplad till kinesisk hotaktivitet.
