Malware Showboat amenaza a telecomunicaciones en Oriente Medio
Publicado el
Introducción
Investigadores de ciberseguridad han descubierto un nuevo malware Linux conocido como Showboat, utilizado en una campaña que ha afectado a un proveedor de telecomunicaciones en Oriente Medio desde mediados de 2022. Este malware representa un grave riesgo para la seguridad de las infraestructuras críticas de telecomunicaciones en la región.
Descripción del Malware
Showboat es un marco de post-explotación modular diseñado específicamente para sistemas Linux. Sus capacidades incluyen la apertura de un shell remoto, la transferencia de archivos y la operación como un proxy SOCKS5. Según el informe de Lumen Technologies Black Lotus Labs, este malware ha sido vinculado a grupos de amenazas asociados con China, con conexiones identificadas entre nodos de comando y control (C2) y direcciones IP localizadas en Chengdu, capital de Sichuan.
Uno de los actores de amenaza implicados en esta campaña es Calypso, también conocido como Bronze Medley y Red Lamassu, activo desde al menos septiembre de 2016. Este grupo ha tenido como objetivo instituciones estatales en varios países, incluyendo Brasil, India y Turquía. Positive Technologies documentó por primera vez a este grupo en octubre de 2019.
Herramientas y Técnicas
Entre las herramientas utilizadas por Calypso se encuentran PlugX, así como puertas traseras como WhiteBird y BYEBY, las cuales son parte de un cluster más amplio rastreado por ESET bajo el nombre Mikroceen. Este último ha sido atribuido a un grupo conocido como SixLittleMonkeys, que comparte tácticas con otro grupo vinculado a China llamado Webworm. La existencia de estos grupos que comparten recursos pone de manifiesto la organización y el soporte que reciben de actores estatales.
La investigación comenzó tras la subida de un binario ELF a VirusTotal en mayo de 2025, donde fue clasificado como una puerta trasera sofisticada con capacidades similares a las de un rootkit. Kaspersky ha etiquetado este artefacto como EvaRAT. Aunque el vector de acceso inicial para el malware no ha sido determinado, se ha observado que Calypso ha utilizado un shell web ASPX tras explotar vulnerabilidades o acceder a cuentas predeterminadas.
Método de Operación
Showboat está diseñado para conectarse a un servidor C2, recopilar información del sistema y enviarla de vuelta en un campo PNG como una cadena encriptada y codificada en Base64. Además, tiene la capacidad de subir y bajar archivos del sistema comprometido, ocultar su presencia en las listas de procesos y gestionar los servidores C2. Para disimular su presencia, Showboat recupera un fragmento de código alojado en Pastebin, creado el 11 de enero de 2022.
El malware también puede escanear otros dispositivos y conectarse a ellos a través del proxy SOCKS5, sugiriendo que su propósito principal es establecer una base en sistemas comprometidos. Esto permitiría a los atacantes interactuar con máquinas que no están expuestas públicamente a internet, sino que son accesibles únicamente a través de la red local.
Víctimas y Consecuencias
El análisis de la infraestructura ha revelado que al menos dos entidades han sido víctimas: un proveedor de servicios de internet situado en Afganistán y otra entidad no identificada en Azerbaiyán. También se han detectado posibles compromisos en EE.UU. y Ucrania. Según Adamitis, investigador de Black Lotus Labs, la presencia de tales amenazas debe considerarse como una señal de advertencia temprana sobre problemas de seguridad más graves en las redes afectadas.
Además, Calypso ha utilizado otro implante para Windows denominado JFMBackdoor, que se entrega mediante carga lateral de DLL. Este ataque incluye un script por lotes que lanza un ejecutable legítimo que carga la DLL maliciosa. JFMBackdoor ofrece una amplia gama de capacidades, desde el acceso a shells remotos hasta la captura de pantallas.
Conclusión
El ataque a las telecomunicaciones en Afganistán se alinea con los objetivos operativos más amplios de Red Lamassu. La creciente sofisticación de las técnicas empleadas por estos grupos revela la necesidad urgente de mejorar las defensas cibernéticas en sectores críticos para prevenir futuros incidentes.