Cybersecurity-onderzoekers hebben details bekendgemaakt van een nieuwe Linux-malware genaamd Showboot die ten minste sinds medio 2022 wordt ingezet in een campagne gericht op een telecommunicatieaanbieder in het Midden-Oosten.
“Showboat is een modulair post-exploitatieframework ontworpen voor Linux-systemen, in staat om een externe shell voort te brengen, bestanden over te dragen en te functioneren als een SOCKS5-proxy”, aldus Lumen Technologies Black Lotus Labs in een rapport gedeeld met The Hacker News.
Er wordt vastgesteld dat de malware is gebruikt door ten minste één en mogelijk meer clusters van bedreigingsactiviteiten die zijn aangesloten bij China, waarbij correlaties zijn geïdentificeerd tussen command-and-control (C2)-knooppunten en IP-adressen die zijn geolokaliseerd in Chengdu, de hoofdstad van de Chinese provincie Sichuan.
Dit plaatst Showboat samen met andere gedeelde raamwerken zoals PlugX, ShadowPad en NosyDoor die door meerdere Chinese nexusgroepen zijn gebruikt. Deze ‘pooling van middelen’ versterkt de aanwezigheid van een digitale kwartiermaker waarop door de staat gesponsorde dreigingsactoren uit China hebben vertrouwd om hen van de nodige hulpmiddelen te voorzien.
Het startpunt van het onderzoek was een ELF-binair bestand dat in mei 2025 naar VirusTotal werd geüpload, waarbij het malwarescanplatform het classificeerde als een geavanceerde Linux-achterdeur met rootkit-achtige mogelijkheden. Kaspersky volgt het artefact als EvaRAT.
De malware is ontworpen om contact te maken met een C2-server, systeeminformatie te verzamelen en de informatie terug te sturen naar de server in een PNG-veld als een gecodeerde en Base64-gecodeerde string. Het is ook uitgerust om bestanden van en naar de hostmachine te uploaden en downloaden, de aanwezigheid ervan te verbergen in de proceslijst en C2-servers te beheren.
Om zichzelf op de hostmachine te verbergen, haalt Showboat een codefragment op dat wordt gehost op Pastebin. De pasta is gemaakt op 11 januari 2022. Bovendien kan de malware naar andere apparaten scannen en daar verbinding mee maken via de SOCKS5-proxy. Dit suggereert dat het primaire doel van Showboat is om voet aan de grond te krijgen op gecompromitteerde systemen.
“Hierdoor zouden aanvallers kunnen communiceren met machines die niet publiekelijk verbonden zijn met internet en alleen toegankelijk zijn via het LAN”, aldus Black Lotus Labs.
Verdere infrastructuuranalyse heeft twee slachtoffers aan het licht gebracht: een in Afghanistan gevestigde internetprovider (ISP) en een andere onbekende entiteit in Azerbeidzjan. Een secundair C2-cluster dat vergelijkbare X.509-certificaten gebruikt als de oorspronkelijke C2-server heeft twee mogelijke compromissen blootgelegd in de VS en één in Oekraïne.
“Terwijl sommige dreigingsactoren steeds meer heimelijke, eigen systeemtools gebruiken om detectie te omzeilen, zetten anderen nog steeds hardnekkige malware-implantaten in”, zegt Black Lotus Labs-onderzoeker Danny Adamitis. “De aanwezigheid van dergelijke bedreigingen moet worden opgevat als een vroeg waarschuwingssignaal, dat wijst op het potentieel voor bredere en ernstiger veiligheidsproblemen binnen de getroffen netwerken.”
