Investigadores de seguridad de Black Lotus Labs detectaron una campaña de ciberespionaje dirigida contra compañías de telecomunicaciones e infraestructura crítica, activa desde al menos mediados de 2022. La actividad fue atribuida a actores de amenazas vinculados a China, quienes emplearon un nuevo y sofisticado backdoor modular para sistemas Linux.
Según los reportes publicados por The Hacker News, la pieza central de la campaña es un malware denominado “ShowBoat” (al cual la firma Kaspersky realiza seguimiento bajo el nombre EvaRAT). El análisis de la infraestructura de Comando y Control (C2) de esta amenaza reveló conexiones con direcciones IP geolocalizadas en Chengdu, China. Los expertos sugieren que ShowBoat podría formar parte de un ecosistema de herramientas compartidas por un proveedor común (digital quartermaster) que abastece a múltiples grupos de espionaje estatales integrados al nexo chino.
El análisis técnico de las muestras (cuyo vector inicial fue un binario ELF para Linux subido a VirusTotal) revela que ShowBoat está diseñado principalmente para el establecimiento de persistencia y el movimiento lateral dentro de las redes comprometidas. Entre sus capacidades más destacadas se encuentran:
- Evasión de tráfico: Capacidad de comunicarse con su servidor C2 transmitiendo la información del sistema cifrada y codificada en Base64, oculta dentro de un campo de una imagen PNG.
- Funciones de Rootkit: Mecanismos para ocultar su propia presencia y sus procesos activos dentro del sistema operativo de la víctima, valiéndose de scripts externos hospedados en plataformas como Pastebin desde 2022.
- Pivotaje de red: Capacidad para operar como un Proxy SOCKS5, permitiendo a los atacantes escanear la red local (LAN) e interactuar con dispositivos internos que no están expuestos directamente a Internet.
Entre las víctimas confirmadas se encuentra un proveedor de telecomunicaciones en Medio Oriente, un proveedor de servicios de Internet (ISP) en Afganistán y otra entidad en Azerbaiyán, además de indicios de compromisos secundarios en Ucrania y los Estados Unidos.
Hasta el momento, los reportes no detallan vectores de infección inicial específicos ni versiones puntuales de Linux afectadas, confirmando que la campaña se basa en capacidades de post-explotación una vez que el perímetro ya ha sido vulnerado. Tampoco se registraron CVEs asociadas directamente al implante malicioso.
Medidas de mitigación recomendadas por los investigadores:
- Monitorear conexiones salientes sospechosas hacia infraestructura no verificada o anomalías en la transferencia de archivos (especialmente tráfico saliente de imágenes anómalas).
- Revisar periódicamente los mecanismos de persistencia y auditar las listas de procesos en servidores y entornos Linux para detectar técnicas de ocultamiento estilo rootkit.
- Implementar un control estricto de segmentación de redes para evitar que herramientas de pivotaje (como proxies SOCKS5) permitan el movimiento lateral hacia redes LAN críticas.
- Mantener actualizadas y correctamente configuradas las soluciones de detección y respuesta en endpoints (EDR) orientadas a plataformas Linux.
El caso refleja el creciente interés de grupos de ciberespionaje vinculados a Estados en comprometer proveedores de telecomunicaciones, un sector considerado estratégico por la capacidad de acceso a tráfico, metadatos y comunicaciones sensibles.
Fuente
https://thehackernews.com/2026/05/showboat-linux-malware-hits-middle-east.html
https://www.darkreading.com/threat-intelligence/chinese-apts-linux-backdoor-telco-attacks