Pesquisadores de cibersegurança descobriram um sofisticado malware para Linux, apelidado de **Showboat**, ativamente implantado em uma campanha visando um provedor de telecomunicações no Oriente Médio desde pelo menos meados de 2022.  ### Showboat: Um Framework Modular de Pós-Exploração "Showboat é um framework modular de pós-exploração projetado para sistemas Linux, capaz de iniciar um shell remoto, transferir arquivos e funcionar como um proxy SOCKS5", declarou a **Lumen Technologies Black Lotus Labs** em seu relatório. Acredita-se que o malware seja usado por um ou mais grupos de ameaças associados à China. Nós de comando e controle (C2) foram ligados a endereços IP localizados em Chengdu, Sichuan, China. ### Envolvimento do Calypso Um desses atores de ameaças é o **Calypso** (também conhecido como Bronze Medley e Red Lamassu), conhecido por atacar instituições estatais em vários países desde pelo menos 2016. O kit de ferramentas do **Calypso** inclui PlugX e backdoors como WhiteBird e BYEBY, sendo este último associado ao Mikroceen e ao grupo SixLittleMonkeys, que compartilha sobreposições com o **Webworm**. Isso posiciona o **Showboat** ao lado de outros frameworks compartilhados como PlugX, ShadowPad e NosyDoor, usados por múltiplos grupos ligados à China. Esse compartilhamento de recursos sugere um "almoxarife digital" apoiando atores de ameaças chineses patrocinados pelo estado. ### Análise Técnica e EvaRAT A investigação começou com um binário ELF carregado no VirusTotal em maio de 2025, identificado como um backdoor sofisticado para Linux com capacidades de rootkit. A **Kaspersky** está rastreando este artefato como EvaRAT.  O pesquisador de segurança da **Black Lotus Labs**, Danny Adamitis, observou que o vetor de acesso inicial permanece desconhecido. No entanto, o **Calypso** usou anteriormente web shells ASPX após explorar vulnerabilidades ou comprometer contas padrão para acesso remoto. Notavelmente, o grupo também esteve entre os primeiros a weaponizar a **CVE-2021-26855**, uma vulnerabilidade do **Microsoft Exchange Server** usada na cadeia de exploit ProxyLogon. ### Capacidades do Showboat O malware é projetado para se comunicar com um servidor C2, coletar informações do sistema e transmiti-las de volta em um campo PNG como uma string criptografada e codificada em Base64. Ele também pode fazer upload/download de arquivos, se esconder de listas de processos e gerenciar servidores C2. Para se ocultar, o **Showboat** recupera código do Pastebin (criado em 11 de janeiro de 2022). Ele pode escanear e se conectar a outros dispositivos através de um proxy SOCKS5, indicando seu propósito de estabelecer um ponto de apoio em sistemas comprometidos. ### Vítimas e Infraestrutura A análise da infraestrutura revelou duas vítimas: um ISP baseado no Afeganistão e uma entidade desconhecida no Azerbaijão. Um cluster C2 secundário, usando certificados X.509 semelhantes, sugere comprometimentos nos EUA e na Ucrânia. "Enquanto alguns atores de ameaças estão usando cada vez mais ferramentas de sistema nativas e furtivas para evadir a detecção, outros ainda implantam implantes de malware persistentes", declarou Adamitis. "A presença de tais ameaças deve ser vista como um sinal de alerta precoce, indicando o potencial para problemas de segurança mais amplos e sérios dentro das redes afetadas." ### JFMBackdoor e Objetivos Mais Amplos O **Calypso** também usou o JFMBackdoor, um implante Windows completo entregue via carregamento lateral de DLL, na campanha visando o provedor de telecomunicações afegão. A cadeia de ataque envolve um script batch que inicia um executável legítimo que carrega a DLL maliciosa. O JFMBackdoor oferece acesso a shell remoto, operações de arquivo, proxy de rede, captura de tela e capacidades de auto-remoção. A **PricewaterhouseCoopers (PwC)** observou em um relatório coordenado: "O direcionamento ao Afeganistão e seu setor de telecomunicações se alinha com o que avaliamos serem quase certamente os objetivos e metas operacionais mais amplos do Red Lamassu."