Mã độc Linux Showboat tấn công ngành viễn thông Trung Đông bằng Backdoor Proxy SOCKS5

Các nhà nghiên cứu an ninh mạng vừa tiết lộ chi tiết về một loại mã độc Linux mới mang tên Showboat, được sử dụng để tấn công các nhà cung cấp viễn thông tại Trung Đông từ giữa năm 2022. Đây là một khung khai thác sau (post-exploitation framework) dạng mô-đun, có khả năng tạo remote shell, chuyển tệp và hoạt động như một proxy SOCKS5 để xâm nhập sâu vào mạng nội bộ.
Mã độc Showboat nhắm vào Linux
Các nhà nghiên cứu phát hiện mã độc Linux mới nhắm vào hạ tầng viễn thông.

Các nhà nghiên cứu an ninh mạng vừa tiết lộ chi tiết về một loại mã độc Linux mới mang tên Showboat, đã được sử dụng trong một chiến dịch nhắm vào một nhà cung cấp dịch vụ viễn thông tại Trung Đông kể từ ít nhất là giữa năm 2022.

"Showboat là một khung khai thác sau (post-exploitation framework) dạng mô-đun được thiết kế cho các hệ thống Linux, có khả năng tạo remote shell, chuyển tệp và hoạt động như một proxy SOCKS5." — Báo cáo từ Black Lotus Labs thuộc Lumen Technologies chia sẻ với The Hacker News.

Sự liên kết với các nhóm đe dọa từ Trung Quốc

Mã độc này được đánh giá là đã được sử dụng bởi ít nhất một hoặc nhiều cụm hoạt động đe dọa có liên quan đến Trung Quốc. Các nhà nghiên cứu đã xác định được mối tương quan giữa các nút điều khiển (C2) và các địa chỉ IP có vị trí địa lý tại Thành Đô, thủ phủ tỉnh Tứ Xuyên, Trung Quốc.

Một trong những tác nhân đe dọa đó là Calypso (còn gọi là Bronze Medley và Red Lamassu), nhóm này đã hoạt động từ ít nhất là tháng 9 năm 2016, nhắm mục tiêu vào các tổ chức chính phủ ở Brazil, Ấn Độ, Kazakhstan, Nga, Thái Lan và Thổ Nhĩ Kỳ.

Kho vũ khí của nhóm này bao gồm PlugX và các backdoor như WhiteBirdBYEBY. Việc sử dụng Mikroceen được quy cho nhóm SixLittleMonkeys, vốn có những điểm tương đồng về kỹ thuật với một nhóm khác liên quan đến Trung Quốc là Webworm.

Sự xuất hiện của Showboat cùng với các khung công cụ dùng chung khác như PlugX, ShadowPad và NosyDoor củng cố giả thuyết về sự hiện diện của một "đơn vị cung ứng kỹ thuật số" (digital quartermaster) mà các nhóm tấn công do nhà nước Trung Quốc bảo trợ tin dùng để cung cấp các công cụ cần thiết.

Phân tích kỹ thuật mã độc Showboat

Cuộc điều tra bắt đầu từ một tệp nhị phân ELF được tải lên VirusTotal vào tháng 5 năm 2025. Nền tảng này phân loại nó là một backdoor Linux tinh vi với khả năng tương tự rootkit. Kaspersky đang theo dõi biến thể này với tên gọi EvaRAT.

Danny Adamitis, nhà nghiên cứu bảo mật tại Black Lotus Labs, cho biết phương thức xâm nhập ban đầu chính xác vẫn chưa được xác định. Tuy nhiên, trong quá khứ, Calypso đã từng sử dụng ASPX web shell sau khi khai thác lỗ hổng hoặc chiếm quyền điều khiển các tài khoản mặc định dùng cho truy cập từ xa.

Sơ đồ hạ tầng C2
Phân tích hạ tầng điều khiển C2 của mã độc.

Nhóm này cũng nằm trong số những nhóm liên kết với Trung Quốc đầu tiên vũ khí hóa CVE-2021-26855, một lỗ hổng bảo mật trong Microsoft Exchange Server thuộc chuỗi khai thác ProxyLogon.

Khả năng ẩn mình và Di chuyển ngang hàng

Mã độc được thiết kế để liên lạc với máy chủ C2, thu thập thông tin hệ thống và truyền dữ liệu ngược lại dưới dạng chuỗi mã hóa Base64 ẩn trong các trường tệp PNG. Nó có khả năng:

  • Tải lên và tải xuống các tệp từ máy chủ nạn nhân.
  • Ẩn sự hiện diện khỏi danh sách tiến trình (process list).
  • Quản lý các máy chủ C2.
  • Quét và kết nối với các thiết bị khác qua proxy SOCKS5.

Để ẩn mình trên máy chủ, Showboat tải một đoạn mã từ Pastebin (được tạo vào tháng 1 năm 2022). Khả năng proxy SOCKS5 cho thấy mục đích chính của Showboat là thiết lập bàn đạp vững chắc trong hệ thống bị xâm nhập.

"Điều này cho phép kẻ tấn công tương tác với các máy không tiếp xúc trực tiếp với internet và chỉ có thể truy cập qua mạng LAN."

Các nạn nhân và Biến thể trên Windows

Phân tích hạ tầng đã phát hiện hai nạn nhân: một nhà cung cấp dịch vụ internet (ISP) tại Afghanistan và một thực thể chưa xác định tại Azerbaijan. Các cụm C2 phụ sử dụng chứng chỉ X.509 tương tự cũng cho thấy khả năng có nạn nhân tại Mỹ và Ukraine.

Bên cạnh Showboat, nhóm Calypso còn sử dụng một công cụ Windows đầy đủ tính năng có tên mã JFMBackdoor, được phân phối thông qua kỹ thuật DLL side-loading. Chuỗi tấn công bao gồm một batch script khởi chạy một tệp thực thi hợp lệ, sau đó tệp này sẽ tải DLL độc hại.

JFMBackdoor hỗ trợ nhiều khả năng như: truy cập remote shell, thao tác tệp, proxy mạng, chụp ảnh màn hình và tự xóa dấu vết. Việc nhắm vào Afghanistan và lĩnh vực viễn thông hoàn toàn phù hợp với các mục tiêu hoạt động chiến lược của nhóm Red Lamassu.