Showboat-Malware
Cybersicherheitsforscher haben ein bisher undokumentiertes Linux-Malware-Framework namens Showboat entdeckt, das seit mindestens Mitte 2022 aktiv gegen einen Telekommunikationsanbieter im Nahen Osten eingesetzt wird. Die Malware fungiert als modulares Post-Exploitation-Toolkit, das den Fernzugriff auf die Shell ermöglicht, Dateien überträgt und in kompromittierten Umgebungen als SOCKS5-Proxy fungiert.
Sicherheitsexperten gehen davon aus, dass die Schadsoftware mit einem oder mehreren chinesischen Bedrohungsnetzwerken in Verbindung steht. Ermittler identifizierten Verbindungen zwischen der Kommando- und Kontrollinfrastruktur (C2) der Schadsoftware und IP-Adressen, die auf Chengdu, die Hauptstadt der chinesischen Provinz Sichuan, zurückgeführt werden konnten. Dies verstärkt den Verdacht einer Beteiligung des chinesischen Staates.
Inhaltsverzeichnis
Verbindungen zu etablierten, mit China verbundenen Bedrohungsoperationen
Eine der mit diesen Aktivitäten in Verbindung gebrachten Gruppen ist Calypso, auch bekannt als Bronze Medley und Red Lamassu. Diese Bedrohungsgruppe ist mindestens seit September 2016 aktiv und hat in der Vergangenheit Regierungs- und institutionelle Einrichtungen in Brasilien, Indien, Kasachstan, Russland, Thailand und der Türkei ins Visier genommen. Erste öffentliche Berichte über die Gruppe erschienen 2019 durch eine von Positive Technologies veröffentlichte Studie.
Calypso nutzte bisher Malware-Familien wie PlugX sowie Backdoors wie WhiteBird und BYEBY. Die BYEBY-Malware gehört zu einem größeren operativen Cluster namens Mikroceen, der auch mit dem Bedrohungscluster SixLittleMonkeys in Verbindung gebracht wird. Forscher stellten zudem taktische Ähnlichkeiten zwischen SixLittleMonkeys und einer weiteren, mit China verbundenen Operation namens Webworm fest.
Das Auftreten von Showboat neben gemeinsam genutzten Frameworks wie PlugX, ShadowPad und NosyDoor verdeutlicht einen breiteren Trend unter Akteuren mit China-Bezug: die Wiederverwendung und Verbreitung offensiver Cyberwerkzeuge durch verschiedene Spionagegruppen. Dieses Muster deutet stark auf die Existenz einer zentralen „digitalen Quartiermeisterstelle“ hin, die für die Bereitstellung von Malware und operativen Ressourcen für staatlich unterstützte Akteure verantwortlich ist.
Erweiterte Linux-Hintertürfunktionen geben Anlass zu ernsthaften Bedenken
Die Untersuchung begann, nachdem Forscher eine im Mai 2025 hochgeladene ELF-Datei analysiert hatten, die zunächst als hochentwickelte Linux-Backdoor mit Rootkit-ähnlicher Funktionalität eingestuft wurde. Die Malware-Probe wird auch unter dem Namen EvaRAT geführt.
Obwohl der genaue Infektionsweg weiterhin unbekannt ist, umfassten frühere Calypso-Angriffe den Einsatz von ASPX-Webshells nach Ausnutzung von Sicherheitslücken oder Kompromittierung von Standard-Fernzugriffskonten. Die Gruppe gehörte außerdem zu den ersten chinesischen Akteuren, die CVE-2021-26855, die Schwachstelle im Microsoft Exchange Server, die den Ausgangspunkt der berüchtigten ProxyLogon-Exploit-Kette bildete, für ihre Zwecke nutzten.
Showboat ist so konzipiert, dass es die Kommunikation mit entfernten C2-Servern herstellt, detaillierte Systeminformationen sammelt und die erfassten Daten verschlüsselt und Base64-kodiert in PNG-Feldern überträgt. Die Malware unterstützt zudem eine Reihe von Tarn- und Betriebsfunktionen, darunter:
- Funktionalität zum Hoch- und Herunterladen von Dateien
- Techniken zur Verschleierung von Prozessen
- C2-Serververwaltung
- Internes Netzwerk-Scanning
- SOCKS5-Proxy-Tunneling für laterale Bewegung
Um auf kompromittierten Rechnern nicht entdeckt zu werden, ruft Showboat einen Codeausschnitt von Pastebin ab. Forscher konnten die dort gespeicherten Inhalte bis zum 11. Januar 2022 zurückverfolgen. Analysten gehen davon aus, dass das Hauptziel der Malware darin besteht, dauerhaften Zugriff innerhalb anvisierter Netzwerke zu erlangen, insbesondere auf Systeme, die vom direkten Internetzugriff isoliert und nur über interne LAN-Verbindungen erreichbar sind.
Ausbau der Infrastruktur enthüllt internationale Opfer
Weitere Untersuchungen der Bedrohungsinfrastruktur deckten mehrere betroffene Organisationen in verschiedenen Regionen auf. Die Forscher identifizierten einen Internetdienstanbieter mit Sitz in Afghanistan sowie eine weitere, nicht näher spezifizierte Organisation in Aserbaidschan. Ein zweites Cluster von C2-Servern mit ähnlichen X.509-Zertifikaten deutete zudem auf mögliche Kompromittierungen von Organisationen in den USA und der Ukraine hin.
Die fortgesetzte Verbreitung persistenter Malware-Implantate zeigt, dass fortgeschrittene Gruppen trotz des zunehmenden Einsatzes unauffälligerer „Living-off-the-Land“-Techniken durch viele Angreifer weiterhin stark auf maßgeschneiderte Hintertüren für langfristigen Zugriff und operative Kontrolle angewiesen sind. Sicherheitsexperten warnen davor, dass die Entdeckung von Malware wie Showboat als kritischer Indikator für eine potenziell weitreichendere Kompromittierung betroffener Netzwerke zu werten ist.
JFMBackdoor weitet die Kampagne über Linux-Systeme hinaus aus
Neben Showboat beobachteten Forscher, wie Calypso bei Angriffen auf den afghanischen Telekommunikationssektor eine voll funktionsfähige Windows-Malware namens JFMBackdoor einsetzte. Die Malware wird durch DLL-Sideloading verbreitet, einer Technik, die legitime Anwendungen missbraucht, um schädliche dynamische Linkbibliotheken zu laden.
Die Infektionskette beginnt mit einem Batch-Skript, das eine vertrauenswürdige ausführbare Datei startet, welche anschließend die schädliche DLL-Payload lädt. Sobald JFMBackdoor aktiv ist, ermöglicht es Angreifern weitreichende operative Kontrolle über kompromittierte Systeme. Zu seinen Funktionen gehören:
- Remote-Shell-Ausführung
Der Fokus auf Afghanistan und seine Telekommunikationsinfrastruktur deckt sich weitgehend mit den übergeordneten strategischen Zielen, die zuvor mit den Operationen von Red Lamassu in Verbindung gebracht wurden, und bestärkt die Einschätzung, dass die Kampagne Teil einer größeren Cyber-Spionageaktion ist, die mit chinesischen Bedrohungsaktivitäten zusammenhängt.
