Showboat Linux malware
A Black Lotus Labs kutatása szerint a Showboat új Linux malware-t legalább 2022 óta használják közel-keleti telekommunikációs szolgáltatók elleni kiberkémkedési műveletekben. A malware egy moduláris post-exploitation framework, amely távoli shellt, fájlátvitelt és SOCKS5 proxy funkciót biztosít a támadóknak Linux rendszereken.
A kutatók szerint a kampány mögött nagy valószínűséggel kínai kötődésű operátorok állnak. Az infrastruktúra és a TTP-k átfedéseket mutatnak a Calypso APT-csoporttal, amely korábban állami és stratégiai célpontokat támadott Ázsiában és a Közel-Keleten. A vezérlőszerverek egy része kínai – főként csengtui – infrastruktúrához kapcsolódott.
A Showboat technikailag kifejezetten alacsony zajszintű működésre épül. A malware memóriában futó komponenseket, titkosított konfigurációkat és proxyfunkciókat használ, így a kompromittált rendszerek pivotpontként is használhatók további belső támadásokhoz. A SOCKS5 modul lehetővé teszi, hogy a támadók legitim hálózati forgalom mögé rejtve mozogjanak vállalati vagy telekommunikációs infrastruktúrákban.
