サイバーセキュリティ研究者たちは、2022年半ば以降、中東の通信事業者標的に展開されている洗練されたLinuxマルウェア「Showboat」を発見しました。  ### Showboat：モジュール型ポストエクスプロイテーションフレームワーク 「ShowboatはLinuxシステム向けに設計されたモジュール型ポストエクスプロイテーションフレームワークであり、リモートシェルを起動し、ファイルを転送し、SOCKS5プロキシとして機能することができます」と、Lumen Technologies Black Lotus Labsは報告書で述べています。 このマルウェアは、中国に関連する1つ以上の攻撃グループによって使用されていると考えられています。コマンド＆コントロール（C2）ノードは、中国四川省成都市にあるIPアドレスと関連付けられています。 ### Calypsoの関与 そのような攻撃グループの1つがCalypso（別名Bronze Medley、Red Lamassu）であり、2016年以降、様々な国の国家機関を標的にしていることが知られています。Calypsoのツールキットには、PlugXや、MikroceenおよびWebwormと重複するグループSixLittleMonkeysに関連付けられているWhiteBirdやBYEBYなどのバックドアが含まれています。 これにより、Showboatは、複数の中国関連グループによって使用されるPlugX、ShadowPad、NosyDoorなどの他の共有フレームワークと並ぶことになります。このリソース共有は、国家支援の中国の攻撃グループを支援する「デジタル補給係」を示唆しています。 ### 技術分析とEvaRAT 調査は、2025年5月にVirusTotalにアップロードされたELFバイナリから始まり、これはルートキット機能を備えた洗練されたLinuxバックドアとして特定されました。KasperskyはこのアーティファクトをEvaRATとして追跡しています。  Black Lotus Labsのセキュリティ研究者であるDanny Adamitis氏は、初期アクセスベクトルは不明であると指摘しています。しかし、Calypsoは以前、脆弱性を悪用したり、リモートアクセス用にデフォルトアカウントを侵害したりした後、ASPXウェブシェルを使用していました。注目すべきは、このグループがProxyLogonエクスプロイトチェーンで使用されたMicrosoft Exchange Serverの脆弱性であるCVE-2021-26855を最初に悪用したグループの1つでもあったことです。 ### Showboatの機能 このマルウェアは、C2サーバーと通信し、システム情報を収集し、それをPNGフィールドに暗号化されたBase64エンコード文字列として送信するように設計されています。また、ファイルのアップロード/ダウンロード、プロセスリストからの隠蔽、C2サーバーの管理も可能です。 自身を隠蔽するために、ShowboatはPastebinからコードを取得します（2022年1月11日に作成）。SOCKS5プロキシ経由で他のデバイスをスキャンして接続することができ、これは侵害されたシステムに足場を築くことを目的としていることを示しています。 ### 被害者とインフラストラクチャ インフラストラクチャ分析により、アフガニスタンを拠点とするISPとアゼルバイジャンにある不明なエンティティの2つの被害者が明らかになりました。同様のX.509証明書を使用した二次的なC2クラスターは、米国とウクライナでの侵害を示唆しています。 「一部の攻撃者は検出を回避するためにステルス性の高いネイティブシステムツールをますます使用していますが、他の攻撃者は依然として永続的なマルウェアインプラントを展開しています」とAdamitis氏は述べています。「このような脅威の存在は、影響を受けたネットワーク内で、より広範でより深刻なセキュリティ問題の可能性を示す早期警告サインとして受け取るべきです。」 ### JFMBackdoorとより広範な目標 Calypsoは、アフガニスタンの通信事業者標的キャンペーンで、DLLサイドローディングを介して配信されるフル機能のWindowsインプラントであるJFMBackdoorも使用しました。 攻撃チェーンには、悪意のあるDLLをロードする正規の実行可能ファイルを起動するバッチスクリプトが含まれています。JFMBackdoorは、リモートシェルアクセス、ファイル操作、ネットワークプロキシ、スクリーンショットキャプチャ、および自己削除機能を提供します。 PricewaterhouseCoopers（PwC）は、調整された報告書で次のように述べています。「アフガニスタンとその通信セクターの標的化は、Red Lamassuのより広範な運用目標と目的にほぼ確実に合致すると評価しているものと一致しています。」