Investigadores de ciberseguridad han descubierto un sofisticado malware para Linux denominado **Showboat**, desplegado activamente en una campaña que apunta a un proveedor de telecomunicaciones en Medio Oriente desde al menos mediados de 2022.  ### Showboat: Un Framework Modular de Post-Explotación "Showboat es un framework modular de post-explotación diseñado para sistemas Linux, capaz de generar un shell remoto, transferir archivos y funcionar como un proxy SOCKS5", declararon **Lumen Technologies Black Lotus Labs** en su informe. Se cree que el malware es utilizado por uno o más grupos de amenaza asociados con China. Los nodos de comando y control (C2) se han vinculado a direcciones IP ubicadas en Chengdu, Sichuan, China. ### La Participación de Calypso Uno de estos actores de amenaza es **Calypso** (también conocido como Bronze Medley y Red Lamassu), conocido por atacar instituciones estatales en varios países desde al menos 2016. El kit de herramientas de **Calypso** incluye PlugX y backdoors como WhiteBird y BYEBY, este último asociado con Mikroceen y el grupo SixLittleMonkeys, que comparte solapamientos con **Webworm**. Esto posiciona a **Showboat** junto a otros frameworks compartidos como PlugX, ShadowPad y NosyDoor, utilizados por múltiples grupos vinculados a China. Esta agrupación de recursos sugiere un "intendente digital" que apoya a los actores de amenaza chinos patrocinados por el estado. ### Análisis Técnico y EvaRAT La investigación comenzó con un binario ELF subido a VirusTotal en mayo de 2025, identificado como un sofisticado backdoor para Linux con capacidades de rootkit. **Kaspersky** está rastreando este artefacto como EvaRAT.  El investigador de seguridad de **Black Lotus Labs**, Danny Adamitis, señaló que el vector de acceso inicial sigue siendo desconocido. Sin embargo, **Calypso** ha utilizado previamente web shells ASPX después de explotar vulnerabilidades o comprometer cuentas predeterminadas para acceso remoto. Notablemente, el grupo también estuvo entre los primeros en weaponizar **CVE-2021-26855**, una vulnerabilidad de **Microsoft Exchange Server** utilizada en la cadena de exploits ProxyLogon. ### Capacidades de Showboat El malware está diseñado para comunicarse con un servidor C2, recopilar información del sistema y transmitirla en un campo PNG como una cadena cifrada y codificada en Base64. También puede subir/descargar archivos, ocultarse de las listas de procesos y administrar servidores C2. Para ocultarse, **Showboat** recupera código de Pastebin (creado el 11 de enero de 2022). Puede escanear y conectarse a otros dispositivos a través de un proxy SOCKS5, lo que indica su propósito de establecer un punto de apoyo en sistemas comprometidos. ### Víctimas e Infraestructura El análisis de infraestructura reveló dos víctimas: un ISP con sede en Afganistán y una entidad desconocida en Azerbaiyán. Un clúster C2 secundario, que utiliza certificados X.509 similares, sugiere compromisos en EE. UU. y Ucrania. "Mientras que algunos actores de amenaza utilizan cada vez más herramientas nativas del sistema sigilosas para evadir la detección, otros todavía despliegan implantes de malware persistentes", afirmó Adamitis. "La presencia de tales amenazas debe tomarse como una señal de advertencia temprana, indicando el potencial de problemas de seguridad más amplios y graves dentro de las redes afectadas". ### JFMBackdoor y Objetivos Más Amplios **Calypso** también utilizó JFMBackdoor, un implante de Windows con todas las funciones entregado a través de la carga lateral de DLL, en la campaña dirigida al proveedor de telecomunicaciones afgano. La cadena de ataque implica un script por lotes que lanza un ejecutable legítimo que carga la DLL maliciosa. JFMBackdoor ofrece acceso a shell remoto, operaciones de archivos, proxy de red, captura de pantalla y capacidades de autoeliminación. **PricewaterhouseCoopers (PwC)** señaló en un informe coordinado: "El ataque dirigido a Afganistán y su sector de telecomunicaciones se alinea con lo que evaluamos que son casi con certeza los objetivos y metas más amplios de Red Lamassu".