Des chercheurs en cybersécurité ont découvert un malware Linux sophistiqué baptisé **Showboat**, activement déployé dans une campagne ciblant un fournisseur de télécommunications au Moyen-Orient depuis au moins mi-2022.  ### Showboat : Un framework modulaire post-exploitation « Showboat est un framework modulaire post-exploitation conçu pour les systèmes Linux, capable de lancer un shell distant, de transférer des fichiers et de fonctionner comme un proxy SOCKS5 », ont déclaré les chercheurs de **Lumen Technologies Black Lotus Labs** dans leur rapport. Le malware est soupçonné d'être utilisé par un ou plusieurs groupes malveillants associés à la Chine. Des nœuds de commande et de contrôle (C2) ont été liés à des adresses IP situées à Chengdu, Sichuan, en Chine. ### L'implication de Calypso L'un de ces acteurs malveillants est **Calypso** (alias Bronze Medley et Red Lamassu), connu pour cibler des institutions étatiques dans divers pays depuis au moins 2016. La boîte à outils de **Calypso** comprend PlugX et des backdoors comme WhiteBird et BYEBY, ce dernier étant associé à Mikroceen et au groupe SixLittleMonkeys, qui présente des recoupements avec **Webworm**. Cela positionne **Showboat** aux côtés d'autres frameworks partagés tels que PlugX, ShadowPad et NosyDoor, utilisés par plusieurs groupes liés à la Chine. Cette mise en commun des ressources suggère un « quartier-maître numérique » soutenant les acteurs malveillants chinois parrainés par l'État. ### Analyse technique et EvaRAT L'enquête a débuté avec un binaire ELF téléchargé sur VirusTotal en mai 2025, identifié comme une backdoor Linux sophistiquée dotée de capacités de rootkit. **Kaspersky** suit cet artefact sous le nom d'EvaRAT.  Danny Adamitis, chercheur en sécurité chez **Black Lotus Labs**, a noté que le vecteur d'accès initial reste inconnu. Cependant, **Calypso** a déjà utilisé des web shells ASPX après avoir exploité des vulnérabilités ou compromis des comptes par défaut pour un accès à distance. Notamment, le groupe a également été parmi les premiers à exploiter **CVE-2021-26855**, une vulnérabilité de **Microsoft Exchange Server** utilisée dans la chaîne d'exploit ProxyLogon. ### Capacités de Showboat Le malware est conçu pour communiquer avec un serveur C2, collecter des informations système et les transmettre sous forme de chaîne chiffrée et encodée en Base64 dans un champ PNG. Il peut également télécharger/télécharger des fichiers, se cacher des listes de processus et gérer les serveurs C2. Pour se dissimuler, **Showboat** récupère du code depuis Pastebin (créé le 11 janvier 2022). Il peut scanner et se connecter à d'autres appareils via un proxy SOCKS5, indiquant son objectif d'établir une présence sur les systèmes compromis. ### Victimes et infrastructure L'analyse de l'infrastructure a révélé deux victimes : un FAI basé en Afghanistan et une entité inconnue en Azerbaïdjan. Un cluster C2 secondaire, utilisant des certificats X.509 similaires, suggère des compromissions aux États-Unis et en Ukraine. « Alors que certains acteurs malveillants utilisent de plus en plus des outils système natifs et discrets pour échapper à la détection, d'autres déploient toujours des implants malveillants persistants », a déclaré Adamitis. « La présence de telles menaces doit être considérée comme un signe d'alerte précoce, indiquant le potentiel de problèmes de sécurité plus larges et plus graves au sein des réseaux affectés. » ### JFMBackdoor et objectifs plus larges **Calypso** a également utilisé JFMBackdoor, un implant Windows complet livré via le chargement latéral de DLL, dans la campagne ciblant le fournisseur de télécommunications afghan. La chaîne d'attaque implique un script batch lançant un exécutable légitime qui charge la DLL malveillante. JFMBackdoor offre un accès shell distant, des opérations sur les fichiers, le proxy réseau, la capture d'écran et des capacités d'auto-suppression. **PricewaterhouseCoopers (PwC)** a noté dans un rapport coordonné : « Le ciblage de l'Afghanistan et de son secteur des télécommunications correspond à ce que nous estimons être presque certainement les objectifs opérationnels plus larges de Red Lamassu. »