Cybersicherheitsforscher haben eine hochentwickelte Linux-Malware namens **Showboat** aufgedeckt, die seit mindestens Mitte 2022 in einer Kampagne gegen einen Telekommunikationsanbieter im Nahen Osten eingesetzt wird.  ### Showboat: Ein modulares Post-Exploitation-Framework "Showboat ist ein modulares Post-Exploitation-Framework für Linux-Systeme, das in der Lage ist, eine Remote-Shell zu starten, Dateien zu übertragen und als SOCKS5-Proxy zu fungieren", heißt es in dem Bericht von **Lumen Technologies Black Lotus Labs**. Die Malware wird vermutlich von einer oder mehreren mit China verbundenen Bedrohungsgruppen eingesetzt. Command-and-Control (C2)-Knoten wurden mit IP-Adressen in Chengdu, Sichuan, China, in Verbindung gebracht. ### Beteiligung von Calypso Einer dieser Akteure ist **Calypso** (auch bekannt als Bronze Medley und Red Lamassu), der seit mindestens 2016 staatliche Institutionen in verschiedenen Ländern ins Visier nimmt. **Calypso's** Toolkit umfasst PlugX und Backdoors wie WhiteBird und BYEBY, wobei letztere mit Mikroceen und der Gruppe SixLittleMonkeys in Verbindung gebracht wird, die Überschneidungen mit **Webworm** aufweist. Dies positioniert **Showboat** neben anderen gemeinsam genutzten Frameworks wie PlugX, ShadowPad und NosyDoor, die von mehreren China-nahen Gruppen verwendet werden. Diese Ressourcenbündelung deutet auf einen "digitalen Quartiermeister" hin, der staatlich geförderte chinesische Bedrohungsakteure unterstützt. ### Technische Analyse und EvaRAT Die Untersuchung begann mit einem ELF-Binärprogramm, das im Mai 2025 auf VirusTotal hochgeladen wurde und als hochentwickelte Linux-Backdoor mit Rootkit-Fähigkeiten identifiziert wurde. **Kaspersky** verfolgt dieses Artefakt als EvaRAT.  **Black Lotus Labs**-Sicherheitsforscher Danny Adamitis merkte an, dass der anfängliche Zugangsvektor unbekannt bleibt. **Calypso** hat jedoch zuvor ASPX-Webshells verwendet, nachdem Schwachstellen ausgenutzt oder Standardkonten für den Fernzugriff kompromittiert wurden. Bemerkenswerterweise gehörte die Gruppe auch zu den ersten, die **CVE-2021-26855**, eine Schwachstelle in **Microsoft Exchange Server**, die in der ProxyLogon-Exploit-Kette verwendet wurde, zu Waffen machten. ### Showboat's Fähigkeiten Die Malware ist darauf ausgelegt, mit einem C2-Server zu kommunizieren, Systeminformationen zu sammeln und diese in einem PNG-Feld als verschlüsselte, Base64-kodierte Zeichenfolge zurückzusenden. Sie kann auch Dateien hoch- und herunterladen, sich vor Prozesslisten verstecken und C2-Server verwalten. Um sich zu verbergen, ruft **Showboat** Code von Pastebin ab (erstellt am 11. Januar 2022). Sie kann nach anderen Geräten scannen und sich über einen SOCKS5-Proxy mit ihnen verbinden, was auf ihren Zweck hindeutet, einen Fußabdruck auf kompromittierten Systemen zu hinterlassen. ### Opfer und Infrastruktur Die Infrastrukturanalyse ergab zwei Opfer: einen ISP mit Sitz in Afghanistan und eine unbekannte Einheit in Aserbaidschan. Ein sekundärer C2-Cluster, der ähnliche X.509-Zertifikate verwendet, deutet auf Kompromittierungen in den USA und der Ukraine hin. "Während einige Akteure zunehmend heimliche, native Systemwerkzeuge zur Umgehung von Erkennungsmaßnahmen einsetzen, setzen andere weiterhin persistente Malware-Implants ein", sagte Adamitis. "Die Präsenz solcher Bedrohungen sollte als frühes Warnzeichen betrachtet werden, das auf das Potenzial für breitere und ernstere Sicherheitsprobleme innerhalb der betroffenen Netzwerke hinweist." ### JFMBackdoor und breitere Ziele **Calypso** setzte auch JFMBackdoor ein, ein voll funktionsfähiges Windows-Implantat, das über DLL-Side-Loading geliefert wird, in der Kampagne gegen den afghanischen Telekommunikationsanbieter. Die Angriffskette umfasst ein Batch-Skript, das eine legitime ausführbare Datei startet, die die bösartige DLL lädt. JFMBackdoor bietet Remote-Shell-Zugriff, Dateioperationen, Netzwerk-Proxying, Screenshot-Erfassung und Funktionen zur Selbstentfernung. **PricewaterhouseCoopers (PwC)** stellte in einem koordinierten Bericht fest: "Die Zielsetzung von Afghanistan und seines Telekommunikationssektors stimmt mit dem überein, was wir als fast sicher die breiteren operativen Ziele und Absichten von Red Lamassu einschätzen."