Phần mềm độc hại Showboat

Các nhà nghiên cứu an ninh mạng đã phát hiện ra một khung phần mềm độc hại Linux chưa từng được ghi nhận trước đây có tên là Showboat, đã được triển khai tích cực chống lại một nhà cung cấp dịch vụ viễn thông ở Trung Đông kể từ ít nhất giữa năm 2022. Phần mềm độc hại này hoạt động như một bộ công cụ khai thác hậu xâm nhập dạng mô-đun, có khả năng cho phép truy cập shell từ xa, truyền tải tập tin và hoạt động như một proxy SOCKS5 trong môi trường bị xâm nhập.

Các nhà phân tích an ninh tin rằng phần mềm độc hại này có liên quan đến một hoặc nhiều cụm mối đe dọa liên quan đến Trung Quốc. Các nhà điều tra đã xác định được mối liên hệ giữa cơ sở hạ tầng điều khiển và giám sát (C2) của phần mềm độc hại và các địa chỉ IP được truy vết đến Thành Đô, thủ phủ của tỉnh Tứ Xuyên, Trung Quốc, làm tăng thêm nghi ngờ về sự can thiệp của nhà nước Trung Quốc.

Có liên hệ với các hoạt động đe dọa có liên hệ với Trung Quốc đã được thiết lập.

Một trong những nhóm liên quan đến hoạt động này là Calypso, còn được biết đến với tên gọi Bronze Medley và Red Lamassu. Nhóm tin tặc này đã hoạt động ít nhất từ tháng 9 năm 2016 và trước đây thường nhắm mục tiêu vào các cơ quan chính phủ và các tổ chức ở Brazil, Ấn Độ, Kazakhstan, Nga, Thái Lan và Thổ Nhĩ Kỳ. Thông tin công khai về nhóm này lần đầu tiên xuất hiện vào năm 2019 thông qua nghiên cứu được công bố bởi Positive Technologies.

Trước đây, Calypso dựa vào các họ phần mềm độc hại như PlugX, cùng với các phần mềm cửa hậu như WhiteBird và BYEBY. Phần mềm độc hại BYEBY thuộc về một cụm hoạt động lớn hơn có tên là Mikroceen, cũng có liên hệ với cụm tấn công SixLittleMonkeys. Các nhà nghiên cứu cũng lưu ý những điểm tương đồng về chiến thuật giữa SixLittleMonkeys và một hoạt động khác có liên hệ với Trung Quốc được gọi là Webworm.

Sự xuất hiện của Showboat cùng với các khung phần mềm dùng chung như PlugX, ShadowPad và NosyDoor làm nổi bật một xu hướng rộng hơn trong số các tác nhân đe dọa có liên hệ với Trung Quốc: việc tái sử dụng và phân phối các công cụ tấn công mạng giữa nhiều nhóm gián điệp. Mô hình này cho thấy rõ sự tồn tại của một "trung tâm quản lý kho kỹ thuật số" tập trung chịu trách nhiệm cung cấp phần mềm độc hại và tài nguyên hoạt động cho các nhà điều hành được nhà nước hậu thuẫn.

Khả năng cài đặt cửa hậu nâng cao trên Linux gây ra những lo ngại nghiêm trọng.

Cuộc điều tra bắt đầu sau khi các nhà nghiên cứu phân tích một tập tin nhị phân ELF được tải lên vào tháng 5 năm 2025, ban đầu được phân loại là một phần mềm độc hại cửa hậu Linux tiên tiến với chức năng giống như rootkit. Mẫu phần mềm độc hại này cũng được theo dõi dưới tên EvaRAT.

Mặc dù phương thức lây nhiễm chính xác vẫn chưa được biết, nhưng các vụ xâm nhập Calypso trước đây liên quan đến việc triển khai web shell ASPX sau khi khai thác các lỗ hổng hoặc xâm phạm các tài khoản truy cập từ xa mặc định. Nhóm này cũng nằm trong số những nhóm tin tặc Trung Quốc đầu tiên sử dụng CVE-2021-26855, lỗ hổng của Microsoft Exchange Server, vốn là giai đoạn đầu tiên của chuỗi khai thác ProxyLogon khét tiếng.

Showboat được thiết kế để thiết lập liên lạc với các máy chủ C2 từ xa, thu thập thông tin hệ thống chi tiết và truyền dữ liệu thu thập được dưới dạng mã hóa và mã hóa Base64 được ẩn trong các trường PNG. Phần mềm độc hại này cũng hỗ trợ một loạt các tính năng hoạt động và tàng hình, bao gồm:

• Chức năng tải lên và tải xuống tệp
• Kỹ thuật che giấu quy trình
• Quản lý máy chủ C2
• Quét mạng nội bộ
• Đường hầm proxy SOCKS5 để di chuyển ngang

Để tránh bị phát hiện trên các máy chủ bị xâm nhập, Showboat lấy một đoạn mã từ Pastebin, và các nhà nghiên cứu đã truy tìm nguồn gốc nội dung được lưu trữ từ ngày 11 tháng 1 năm 2022. Các nhà phân tích tin rằng mục tiêu chính của phần mềm độc hại này là giành quyền truy cập lâu dài vào các mạng mục tiêu, đặc biệt là các hệ thống bị cô lập khỏi kết nối internet trực tiếp và chỉ có thể truy cập được thông qua các kết nối mạng LAN nội bộ.

Việc mở rộng cơ sở hạ tầng hé lộ các nạn nhân quốc tế

Việc kiểm tra sâu hơn cơ sở hạ tầng đe dọa đã phát hiện ra nhiều tổ chức nạn nhân trải rộng trên nhiều khu vực. Các nhà nghiên cứu đã xác định được một nhà cung cấp dịch vụ internet có trụ sở tại Afghanistan và một tổ chức khác chưa được xác định danh tính đặt tại Azerbaijan. Một cụm máy chủ C2 thứ cấp chia sẻ các chứng chỉ X.509 tương tự cũng cho thấy khả năng bị xâm phạm ảnh hưởng đến các thực thể ở Hoa Kỳ và Ukraine.

Việc tiếp tục triển khai các phần mềm độc hại cấy ghép dai dẳng cho thấy rằng, bất chấp việc nhiều tác nhân đe dọa ngày càng sử dụng các kỹ thuật "tận dụng tài nguyên hiện có" tinh vi hơn, các nhóm tội phạm mạng cao cấp vẫn phụ thuộc rất nhiều vào các cửa hậu tùy chỉnh để truy cập và kiểm soát hoạt động lâu dài. Các chuyên gia bảo mật cảnh báo rằng việc phát hiện phần mềm độc hại như Showboat nên được coi là một dấu hiệu quan trọng cho thấy khả năng bị xâm phạm rộng hơn trong các mạng bị ảnh hưởng.

JFMBackdoor mở rộng chiến dịch ra ngoài phạm vi hệ thống Linux.

Ngoài Showboat, các nhà nghiên cứu còn quan sát thấy Calypso triển khai một phần mềm độc hại Windows đầy đủ tính năng có tên JFMBackdoor trong các cuộc tấn công nhắm vào lĩnh vực viễn thông của Afghanistan. Phần mềm độc hại này được phát tán thông qua kỹ thuật tải DLL bên ngoài (DLL side-loading), một kỹ thuật lợi dụng các ứng dụng hợp pháp để tải các thư viện liên kết động độc hại.

Chuỗi lây nhiễm bắt đầu bằng một tập lệnh hàng loạt khởi chạy một tệp thực thi đáng tin cậy, sau đó tải phần mềm DLL độc hại. Sau khi được kích hoạt, JFMBackdoor cung cấp cho kẻ tấn công quyền kiểm soát hoạt động rộng rãi đối với các hệ thống bị xâm nhập. Chức năng của nó bao gồm:

• Thực thi shell từ xa
• Các thao tác quản lý tệp

• Khả năng proxy mạng

• Chụp ảnh màn hình

• Cơ chế tự loại bỏ

Việc tập trung vào Afghanistan và cơ sở hạ tầng viễn thông của nước này phù hợp chặt chẽ với các mục tiêu chiến lược rộng lớn hơn đã từng gắn liền với các hoạt động của nhóm Red Lamassu, củng cố nhận định rằng chiến dịch này là một phần của nỗ lực gián điệp mạng lớn hơn có liên quan đến hoạt động đe dọa của Trung Quốc.