Logiciel malveillant Showboat
Des chercheurs en cybersécurité ont découvert un framework de malware Linux jusqu'alors inconnu, connu sous le nom de Showboat, qui a été activement déployé contre un fournisseur de télécommunications au Moyen-Orient depuis au moins mi-2022. Ce malware fonctionne comme une boîte à outils modulaire de post-exploitation capable de permettre l'accès à distance à un shell, le transfert de fichiers et de fonctionner comme un proxy SOCKS5 dans des environnements compromis.
Les analystes en sécurité estiment que le logiciel malveillant est lié à un ou plusieurs groupes de menaces associés à la Chine. Les enquêteurs ont identifié des liens entre l'infrastructure de commande et de contrôle (C2) du logiciel malveillant et des adresses IP localisées à Chengdu, capitale de la province chinoise du Sichuan, ce qui renforce les soupçons d'une implication de l'État chinois.
Table des matières
Liens avec des opérations de menace établies liées à la Chine
L'un des groupes associés à cette activité est Calypso, également connu sous les noms de Bronze Medley et Red Lamassu. Ce groupe terroriste est actif depuis au moins septembre 2016 et a historiquement ciblé des entités gouvernementales et institutionnelles au Brésil, en Inde, au Kazakhstan, en Russie, en Thaïlande et en Turquie. Les premières informations publiques concernant ce groupe sont apparues en 2019 dans une étude publiée par Positive Technologies.
Calypso a déjà utilisé des familles de logiciels malveillants comme PlugX, ainsi que des portes dérobées telles que WhiteBird et BYEBY. Le logiciel malveillant BYEBY appartient à un groupe opérationnel plus vaste appelé Mikroceen, lui-même lié au groupe de menaces SixLittleMonkeys. Les chercheurs ont également relevé des similitudes tactiques entre SixLittleMonkeys et une autre opération liée à la Chine, connue sous le nom de Webworm.
L'apparition de Showboat aux côtés de plateformes partagées telles que PlugX, ShadowPad et NosyDoor met en lumière une tendance plus générale chez les acteurs malveillants liés à la Chine : la réutilisation et la distribution d'outils offensifs cybernétiques entre plusieurs groupes d'espionnage. Ce schéma suggère fortement l'existence d'un « intendant numérique » centralisé chargé de fournir des logiciels malveillants et des ressources opérationnelles aux opérateurs soutenus par l'État.
Les fonctionnalités avancées des portes dérobées Linux soulèvent de sérieuses inquiétudes.
L'enquête a débuté après que des chercheurs ont analysé un fichier binaire ELF téléchargé en mai 2025, initialement classé comme une porte dérobée Linux très sophistiquée dotée de fonctionnalités similaires à celles d'un rootkit. Ce logiciel malveillant est également référencé sous le nom d'EvaRAT.
Bien que le vecteur d'infection précis demeure inconnu, les intrusions précédentes de Calypso ont impliqué le déploiement de shells web ASPX après l'exploitation de vulnérabilités ou la compromission de comptes d'accès distant par défaut. Ce groupe a également été parmi les premiers acteurs malveillants chinois à exploiter la faille CVE-2021-26855, la vulnérabilité de Microsoft Exchange Server qui a constitué la première étape de la tristement célèbre chaîne d'exploitation ProxyLogon.
Showboat est conçu pour établir une communication avec des serveurs C2 distants, collecter des informations système détaillées et transmettre les données recueillies sous forme chiffrée et encodée en Base64, dissimulées dans des champs PNG. Ce logiciel malveillant prend également en charge diverses fonctionnalités furtives et opérationnelles, notamment :
- Fonctionnalités de téléchargement et d'envoi de fichiers
- techniques de dissimulation de processus
- Gestion du serveur C2
- Analyse du réseau interne
- Tunneling proxy SOCKS5 pour le déplacement latéral
Pour échapper à la détection sur les hôtes compromis, Showboat récupère un extrait de code depuis Pastebin, les chercheurs ayant retracé le contenu hébergé jusqu'au 11 janvier 2022. Les analystes estiment que l'objectif principal du logiciel malveillant est de sécuriser un accès persistant au sein des réseaux ciblés, en particulier les systèmes isolés de toute exposition directe à Internet et accessibles uniquement via des connexions LAN internes.
L’expansion des infrastructures révèle des victimes internationales
L'analyse approfondie de l'infrastructure malveillante a révélé de multiples organisations victimes réparties dans plusieurs régions. Les chercheurs ont identifié un fournisseur d'accès Internet basé en Afghanistan et une autre organisation non identifiée située en Azerbaïdjan. Un second groupe de serveurs C2 partageant des certificats X.509 similaires a également mis en évidence des compromissions possibles affectant des entités aux États-Unis et en Ukraine.
Le déploiement continu de logiciels malveillants persistants démontre que, malgré l'utilisation croissante de techniques furtives d'« exploitation des ressources système » par de nombreux acteurs malveillants, les groupes les plus sophistiqués s'appuient toujours fortement sur des portes dérobées personnalisées pour un accès et un contrôle opérationnel à long terme. Les experts en sécurité avertissent que la découverte de logiciels malveillants tels que Showboat doit être considérée comme un indicateur critique d'une compromission potentiellement plus large au sein des réseaux affectés.
JFMBackdoor étend sa campagne au-delà des systèmes Linux
Outre Showboat, les chercheurs ont observé que Calypso déployait un implant de logiciel malveillant Windows complet, connu sous le nom de JFMBackdoor, lors d'attaques ciblant le secteur des télécommunications afghan. Ce logiciel malveillant est diffusé par chargement latéral de DLL, une technique qui exploite des applications légitimes pour charger des bibliothèques de liens dynamiques malveillantes.
La chaîne d'infection débute par un script batch qui lance un exécutable de confiance, lequel charge ensuite la DLL malveillante. Une fois active, JFMBackdoor offre aux attaquants un contrôle opérationnel étendu sur les systèmes compromis. Ses fonctionnalités incluent :
- Exécution de shell à distance
- opérations de gestion de fichiers
- capacités de proxy réseau
- Capture d'écran
- Mécanismes d'auto-élimination
L'accent mis sur l'Afghanistan et son infrastructure de télécommunications correspond étroitement aux objectifs stratégiques plus larges précédemment associés aux opérations de Red Lamassu, renforçant les évaluations selon lesquelles la campagne fait partie d'un effort de cyberespionnage plus vaste lié à l'activité menaçante chinoise.
