Investigadores de ciberseguridad han revelado detalles de un nuevo malware para Linux llamado Showboat que se ha utilizado en campañas dirigidas a proveedores de telecomunicaciones en Medio Oriente desde al menos mediados de 2022.
«Showboat es un marco modular post-explotación diseñado para sistemas Linux que puede generar shells remotos, transferir archivos y actuar como un proxy SOCKS5», dijo Lumen Technologies Black Lotus Labs en un informe compartido con The Hacker News.
Se ha evaluado que el malware se utiliza en al menos uno, y posiblemente más, grupos de actividad de amenazas vinculados a China, con una correlación entre los nodos de comando y control (C2) y las direcciones IP ubicadas en Chengdu, la capital de la provincia china de Sichuan.
Esto coloca a Showboat junto a otros marcos compartidos como PlugX, ShadowPad y NosyDoor que utilizan múltiples grupos relacionados con China. Este “grupo de recursos” fortalece la presencia de intendentes digitales en los que los atacantes patrocinados por el estado chino han confiado para proporcionar las herramientas necesarias.
El punto de partida de la investigación fue un binario ELF subido a VirusTotal en mayo de 2025, que la plataforma de escaneo de malware clasificó como una puerta trasera avanzada de Linux con funcionalidad similar a un rootkit. Kaspersky Lab rastrea este artefacto como EvaRAT.
El malware está diseñado para conectarse a un servidor C2, recopilar información del sistema y enviar esa información al servidor como una cadena cifrada con codificación Base64 en un campo PNG. También tiene la capacidad de cargar y descargar archivos hacia y desde la máquina host, ocultar su presencia de la lista de procesos y administrar el servidor C2.
Showboat obtiene fragmentos de código alojados en Pastebin para ocultarse en la máquina host. Esta pasta se creó el 11 de enero de 2022. Además, el malware puede escanear otros dispositivos y conectarse a ellos a través de servidores proxy SOCKS5. Esto sugiere que el objetivo principal de Showboat es establecer un punto de apoyo en un sistema comprometido.
«Esto permite a un atacante interactuar con una máquina que no está expuesta a Internet y a la que sólo se puede acceder a través de la LAN», dijo Black Lotus Labs.
Un análisis más detallado de la infraestructura reveló dos víctimas: un proveedor de servicios de Internet (ISP) con sede en Afganistán y otra organización desconocida ubicada en Azerbaiyán. Un clúster C2 secundario que utilizaba un certificado X.509 similar al del servidor C2 original dio lugar a dos posibles infracciones en Estados Unidos y una en Ucrania.
«Mientras que algunos atacantes utilizan cada vez más herramientas nativas sigilosas del sistema para evitar ser detectados, otros siguen implementando implantes de malware persistentes», afirmó Danny Adamitis, investigador de Black Lotus Labs. «La presencia de tales amenazas debe verse como una señal de alerta temprana de la posibilidad de que surjan problemas de seguridad más amplios y graves dentro de la red afectada».
Source link
