Обнаружен новый Linux-вредонос Showboat: телекоммуникационные компании под прицелом китайских хакеров

Аналитики выяснили, что Showboat уже применялся при атаке на телекоммуникационного провайдера на Ближнем Востоке. Кроме того, злоумышленники использовали вредонос для имитации работы телекоммуникационных фирм в странах Юго-Восточной Азии. Специалисты Black Lotus Labs полагают, что данный инструмент эксплуатировался как минимум одной, а скорее всего - несколькими хакерскими группировками, чьи интересы совпадают с целями Китайской Народной Республики. Такой вывод сделан на основе анализа глобальной телеметрии Lumen и данных о сетевой инфраструктуре атакующих.

Технический анализ показал, что Showboat является логическим продолжением линейки общих постэксплуатационных фреймворков, которые применяют различные китайские группировки. Ранее исследователи уже фиксировали использование таких инструментов, как PoisonIvy, ShadowPad и NosyDoor. По мнению экспертов, сейчас атрибуция атак исключительно по набору используемых средств становится всё более сложной задачей из-за того, что разные группы делятся друг с другом утилитами и эксплойтами.

Сам факт обнаружения вредоноса начался с того, что один из проактивных сигнатурных поисков Black Lotus Labs сработал на образце, загруженном на платформу VirusTotal. Важно отметить, что сам вредонос не был обнаружен на живых системах, поэтому исследователи не могут прокомментировать вектор начального проникновения. Образец был скомпилирован для архитектуры AMD x86-64. Когда его загрузили на VirusTotal 5 мая 2025 года, детектирование антивирусными движками равнялось нулю. Отчёт Black Lotus Labs детализирует, что такой нулевой показатель сохранялся вплоть до апреля 2026 года.

Ключевым элементом Showboat является конфигурационный файл, который агент получает для начала установки. Этот файл был зашифрован с помощью XOR-шифрования (симметричное шифрование наложением гаммы) с использованием жёстко заданного ключа. Исследователи отметили, что в качестве ключа злоумышленники использовали фразу "look me, AV!", что можно расценить как насмешку над системами антивирусной защиты. После расшифровки агент собирает информацию о конфигурации хоста, включая имя устройства, данные об операционной системе, список запущенных процессов, а также снимок экрана рабочего стола.

Среди функций, встроенных в Showboat, исследователи выделили несколько важных возможностей. Операторы атаки могут загружать и выгружать файлы с заражённого устройства, скрывать сам процесс агента из списка запущенных процессов и закрепляться в системе в качестве службы (persistence), а также заменять адреса командных центров. Особого внимания заслуживает команда "hide". Она позволяет скрыть процесс, извлекая код с внешних сайтов, таких как Pastebin или онлайн-форумы, которые используются в качестве "тайников". Например, один из фрагментов кода был впервые опубликован на Pastebin ещё в январе 2022 года.

Наличие функций Socks5 и перенаправления портов (portmap) указывает на то, что Showboat предназначен для создания точки опоры в сети. Атакующие могут сначала сканировать другие устройства в локальной сети, а затем подключаться к ним через прокси-функцию. Это позволяет взаимодействовать с машинами, которые не имеют прямого выхода в интернет и доступны только из локальной сети организации.

Исследователи выявили два кластера активности, которые могут указывать на отдельные кампании. Первичный кластер был обнаружен после извлечения доменного имени telecom.webredirect[.]org. Этот адрес указывал на сервер с IP-адресом 139.84.227[.]139. На данном узле были открыты четыре порта, причём наиболее значимым оказался самоподписанный X.509-сертификат (цифровой сертификат для проверки подлинности). Его отпечаток SHA256 стал центральной точкой для связывания других узлов в единую сеть.

Специалистам удалось установить, что два вредоносных домена имитировали конкретные телекоммуникационные компании. Домен singtelcom[.]site явно копировал название известного азиатского оператора, а домен kaztelecom[.]shop - казахстанского. Анализ телеметрии подтверждает жертв в Афганистане и Азербайджане. В ходе расследования также была выявлена вторичная группа из двадцати командных серверов. Они могли быть сгенерированы общим стартовым скриптом, но при этом несли разные криптографические значения, что говорит об отдельных кампаниях.

Одна из важных находок - IP-адрес 116.169.244[.]208, который располагался в сети China Unicom и географически относился к району Чэнду. Этот узел не был связан ни с одним известным провайдером виртуальных серверов, что даёт основания предполагать, что это может быть либо вышестоящий шлюз, либо тестовая среда разработчиков. Среди узлов вторичного кластера были зафиксированы контакты с IP-адресами на территории США и Украины. В последнем случае трафик шёл из районов, прилегающих к западной украинско-российской границе, что может быть ещё одним примером использования общего инструментария разными группировками.

Телекоммуникационные компании остаются приоритетной целью для хакерских групп, поддерживаемых государствами. Даже когда конечная цель атаки находится в Северной Америке, глобальная взаимосвязанность телекоммуникационных сетей означает, что риски могут быстро распространяться по всему миру. Организациям следует уделять особое внимание мониторингу трафика между серверами, который не соответствует обычным бизнес-процессам.

Хотя некоторые атакующие всё чаще используют скрытные системные инструменты, другие продолжают внедрять постоянные вредоносные закладки. Наличие таких угроз следует расценивать как ранний предупредительный сигнал, указывающий на возможные более серьёзные проблемы в сети. Особенность Showboat в том, что он ориентирован на Linux-системы и роутеры, где обычно не используются системы класса EDR (системы обнаружения и реагирования на конечных точках). Это делает обнаружение подобных угроз особенно сложной задачей для защитников.

IPv4

• 101.36.105.222
• 139.84.227.139
• 192.9.141.111
• 194.135.25.132
• 23.27.201.160
• 64.176.43.209

IPv4 Port Combinations

• 116.169.244.208:2096

Domains

• kaztelecom.shop
• singtelcom.site
• telecom.webredirect.org

SHA256 fingerprint

• 2229e7f3cabbce4d67cd79c89fd5a100b20e8a99f4a2bf9aac77a978f49eb520
• 27df475626aafce2ea1548a9f35efb9ad951298c8b11a6adb3ccdfcd5170c677
• a72427af3c046fd90999a6505b2372dc4ffde122227f30ed21621ecd4f2d3e8b
• e28a96f983b8605decd2ac1db16ebad5fa741a6aa4e585a38ade0e5ad7d6cec0