Showboat colpisce le telecom in Medio Oriente: backdoor Linux con proxy SOCKS5 e legami sospetti con la Cina

Il malware Linux Showboat è al centro di una campagna di cyber spionaggio che ha preso di mira un operatore di telecomunicazioni in Medio Oriente almeno dalla metà del 2022. Si tratta di un framework modulare di post-exploitation progettato per sistemi Linux, pensato per garantire agli attaccanti un accesso stabile e flessibile dopo la compromissione iniziale.

Le sue funzioni principali includono una shell remota per eseguire comandi, la possibilità di trasferire file e soprattutto la capacità di operare come backdoor con proxy SOCKS5, un elemento chiave per muoversi lateralmente nelle reti.

Le analisi dell’infrastruttura di comando e controllo suggeriscono collegamenti con cluster di minaccia legati alla Cina, con nodi C2 e indirizzi IP associati a Chengdu nella provincia del Sichuan. In questo contesto emerge anche la sovrapposizione con gruppi e toolkit già noti nel panorama APT, dove la condivisione di strumenti e infrastrutture indica un modello di resource pooling. Questo approccio ricorda l’utilizzo di framework riusabili che circolano tra più attori, facilitando operazioni prolungate e difficili da attribuire con certezza.

Il punto di partenza dell’indagine è stato un file ELF caricato su piattaforme di analisi nel maggio 2025 e classificato come backdoor Linux avanzata, con caratteristiche simili a quelle di un rootkit. Il vettore di accesso iniziale non è stato identificato con precisione, ma in operazioni precedenti sono stati osservati metodi come web shell su server esposti o l’abuso di account predefiniti per accesso remoto. Una volta installato, Showboat contatta il server C2, raccoglie informazioni di sistema e le invia in modo offuscato, inserendole in un campo PNG come stringa cifrata e codificata in Base64.

Tra le capacità più rilevanti figurano upload e download di file, gestione dei server C2 e tecniche di evasione come l’occultamento dalla lista dei processi. Per aumentare la furtività, il malware recupera anche porzioni di codice da servizi pubblici, utili a mascherare la presenza sul sistema. La funzione SOCKS5 consente di raggiungere host non esposti su Internet e accessibili solo via LAN, trasformando la macchina compromessa in un ponte per esplorare e controllare segmenti interni della rete.

L’analisi dell’infrastruttura ha inoltre evidenziato vittime in Afghanistan e Azerbaijan, oltre a possibili compromissioni in Stati Uniti e Ucraina legate a un cluster secondario con certificati simili. Nella stessa campagna è stato osservato anche un impianto Windows distribuito tramite DLL side loading, con funzioni che vanno da shell remota a screenshot e proxying di rete.