Cotización de descuento para licencias múltiples
Base de Datos de Amenazas Amenaza persistente avanzada (APT) Malware Showboat

Malware Showboat

Por Mezo en Amenaza persistente avanzada (APT), Puertas traseras, Herramientas de administración remota
Traducir a:

Investigadores de ciberseguridad han descubierto un marco de malware para Linux previamente desconocido, conocido como Showboat, que se ha estado utilizando activamente contra un proveedor de telecomunicaciones en Oriente Medio desde al menos mediados de 2022. El malware funciona como un conjunto de herramientas modulares de post-explotación capaz de permitir el acceso remoto a la consola, transferir archivos y funcionar como un proxy SOCKS5 en entornos comprometidos.

Los analistas de seguridad creen que el malware está vinculado a uno o más grupos de amenazas asociados con China. Los investigadores identificaron conexiones entre la infraestructura de comando y control (C2) del malware y direcciones IP rastreadas hasta Chengdu, la capital de la provincia china de Sichuan, lo que refuerza las sospechas de una posible implicación del Estado chino.

Conexiones con operaciones de amenazas establecidas vinculadas a China.

Uno de los grupos asociados con esta actividad es Calypso, también conocido como Bronze Medley y Red Lamassu. Este grupo de ciberdelincuentes ha estado activo al menos desde septiembre de 2016 y, tradicionalmente, ha atacado a entidades gubernamentales e institucionales en Brasil, India, Kazajistán, Rusia, Tailandia y Turquía. Los primeros informes públicos sobre este grupo surgieron en 2019 a través de una investigación publicada por Positive Technologies.

Anteriormente, Calypso había utilizado familias de malware como PlugX, además de puertas traseras como WhiteBird y BYEBY. El malware BYEBY pertenece a un clúster operativo más amplio denominado Mikroceen, que también se ha vinculado al clúster de amenazas SixLittleMonkeys. Los investigadores también observaron similitudes tácticas entre SixLittleMonkeys y otra operación vinculada a China conocida como Webworm.

La aparición de Showboat junto con plataformas compartidas como PlugX, ShadowPad y NosyDoor pone de manifiesto una tendencia más amplia entre los ciberdelincuentes vinculados a China: la reutilización y distribución de herramientas cibernéticas ofensivas entre múltiples grupos de espionaje. Este patrón sugiere firmemente la existencia de un "administrador digital" centralizado responsable de suministrar malware y recursos operativos a operadores respaldados por el Estado.

Las avanzadas capacidades de puertas traseras en Linux generan serias preocupaciones.

La investigación comenzó después de que los investigadores analizaran un archivo binario ELF subido en mayo de 2025, que inicialmente se clasificó como una puerta trasera de Linux muy avanzada con funcionalidad similar a la de un rootkit. La muestra de malware también se conoce con el nombre de EvaRAT.

Aunque se desconoce el vector de infección exacto, las intrusiones anteriores de Calypso han implicado el despliegue de shells web ASPX tras explotar vulnerabilidades o comprometer cuentas de acceso remoto predeterminadas. El grupo también fue uno de los primeros ciberdelincuentes chinos en utilizar como arma la vulnerabilidad CVE-2021-26855, la falla de Microsoft Exchange Server que constituyó la etapa inicial de la tristemente célebre cadena de exploits ProxyLogon.

Showboat está diseñado para establecer comunicación con servidores C2 remotos, recopilar información detallada del sistema y transmitir los datos obtenidos en formato cifrado y codificado en Base64, ocultos dentro de campos PNG. El malware también admite una serie de funciones de sigilo y operativas, que incluyen:

  • Funcionalidad de carga y descarga de archivos
  • Técnicas de ocultación de procesos
  • administración de servidores C2
  • escaneo de red interna
  • Túnel proxy SOCKS5 para movimiento lateral

Para evitar ser detectado en equipos comprometidos, Showboat obtiene un fragmento de código de Pastebin, y los investigadores han rastreado el contenido alojado hasta el 11 de enero de 2022. Los analistas creen que el objetivo principal del malware es asegurar el acceso persistente dentro de las redes objetivo, en particular en sistemas aislados de la exposición directa a Internet y accesibles solo a través de conexiones LAN internas.

La expansión de las infraestructuras revela víctimas internacionales.

Un análisis más detallado de la infraestructura de amenazas reveló múltiples organizaciones víctimas en diversas regiones. Los investigadores identificaron un proveedor de servicios de internet con sede en Afganistán y otra organización no identificada ubicada en Azerbaiyán. Un clúster secundario de servidores C2 que compartían certificados X.509 similares también apuntaba a posibles vulneraciones que afectaban a entidades en Estados Unidos y Ucrania.

El despliegue continuo de malware persistente demuestra que, a pesar del creciente uso de técnicas más sigilosas por parte de muchos ciberdelincuentes, los grupos más avanzados siguen dependiendo en gran medida de puertas traseras personalizadas para obtener acceso a largo plazo y control operativo. Los expertos en seguridad advierten que el descubrimiento de malware como Showboat debe considerarse un indicador crítico de una posible intrusión más amplia en las redes afectadas.

JFMBackdoor amplía la campaña más allá de los sistemas Linux.

Además de Showboat, los investigadores observaron que Calypso desplegaba un implante de malware para Windows con todas las funciones, conocido como JFMBackdoor, durante ataques dirigidos al sector de las telecomunicaciones de Afganistán. El malware se distribuye mediante la carga lateral de DLL, una técnica que aprovecha las aplicaciones legítimas para cargar bibliotecas de vínculos dinámicos maliciosas.

La cadena de infección comienza con un script por lotes que ejecuta un archivo ejecutable de confianza, el cual posteriormente carga la DLL maliciosa. Una vez activa, JFMBackdoor proporciona a los atacantes un amplio control operativo sobre los sistemas comprometidos. Su funcionalidad incluye:

  • Ejecución remota de shell
  • Operaciones de gestión de archivos
  • Capacidades de proxy de red
  • Captura de pantalla
  • Mecanismos de autoeliminación

El enfoque en Afganistán y su infraestructura de telecomunicaciones coincide plenamente con los objetivos estratégicos más amplios previamente asociados con las operaciones de Red Lamassu, lo que refuerza las evaluaciones de que la campaña forma parte de un esfuerzo de ciberespionaje más amplio vinculado a la actividad de amenazas chinas.

Tendencias

Estafa por correo electrónico sobre la actualización...

Suplantación de identidad (phishing), Correo basura
Los correos electrónicos inesperados que exigen una acción urgente siempre deben tratarse con precaución, especialmente si incluyen advertencias de seguridad de la cuenta o solicitudes para verificar información personal. Los ciberdelincuentes suelen disfrazar los mensajes de phishing como notificaciones oficiales para manipular a los destinatarios y que revelen datos confidenciales. Los...

Mas Visto

Cargando...