Implante modular pós-exploração coleta informações do sistema, oculta processos, transfere arquivos e cria pivô para acessar máquinas internas não expostas à internet.
| Componente | Malware Showboat, um framework modular pós-exploração para sistemas Linux, também rastreado como EvaRAT em um artefato ELF. |
| Vetor | Implante executado após comprometimento inicial não detalhado; a amostra contata servidores C2, coleta informações locais e usa proxy SOCKS5 para alcançar ativos acessíveis pela rede interna. |
| Impacto | Shell remota, upload e download de arquivos, ocultação na lista de processos, gerenciamento de servidores C2 e pivô para sistemas que não estão diretamente expostos à internet. |
| Prioridade | Investigar hosts Linux em redes de telecomunicações e provedores, revisar tráfego SOCKS5 inesperado, conexões para C2, uso de Pastebin por processos de servidor e artefatos ELF com comportamento de backdoor. |
| Artefatos | Amostra ELF enviada ao VirusTotal em maio de 2025, uso de campo PNG para transmitir dados criptografados e codificados em Base64, trecho de código hospedado no Pastebin criado em 11 de janeiro de 2022 e certificados X.509 semelhantes em clusters de infraestrutura. |
| Alvos | Campanha observada contra uma operadora de telecomunicações no Oriente Médio desde pelo menos meados de 2022, com indícios adicionais envolvendo um provedor de internet no Afeganistão, uma entidade no Azerbaijão e possíveis comprometimentos nos Estados Unidos e na Ucrânia. |
O Showboat é um implante modular para Linux usado em estágio pós-exploração, com foco em permanência operacional, controle remoto e movimentação por redes internas. A atividade foi observada contra uma empresa de telecomunicações no Oriente Médio desde pelo menos meados de 2022. A função do malware não se limita à execução de comandos: ele combina shell remota, transferência de arquivos, ocultação de presença no host e capacidade de proxy SOCKS5, o que permite ao operador transformar um sistema comprometido em ponto de pivô para outros ativos acessíveis apenas pela LAN.
A cadeia conhecida começa na análise de um binário ELF submetido ao VirusTotal em maio de 2025, classificado como uma backdoor sofisticada para Linux com capacidades semelhantes às de rootkit. O mesmo artefato é rastreado como EvaRAT. A amostra contata servidores de comando e controle, coleta informações do sistema e transmite esses dados em um campo PNG como uma string criptografada e codificada em Base64. Essa escolha reduz a visibilidade superficial do conteúdo em inspeções simples de tráfego, mas ainda deixa sinais defensivos em metadados, padrões de conexão, processos de origem e destinos recorrentes.
A atribuição técnica é condicionada por correlações de infraestrutura. Há avaliação de uso por pelo menos um agrupamento de atividade alinhado à China, possivelmente mais de um, com vínculos entre nós de C2 e endereços IP geolocalizados em Chengdu, na província chinesa de Sichuan. Essa informação deve ser tratada como indicador de contexto e não como prova isolada de controle operacional. Para equipes de defesa, o dado mais acionável é o perfil do implante: binário Linux persistente ou semipersistente, comunicação C2, busca de código externo, ocultação de processo e tunelamento para redes privadas.
Depois de executado no host comprometido, o Showboat inicia comunicação com um servidor C2 para registrar o sistema e encaminhar informações locais. O contexto não detalha o método de intrusão inicial, portanto a infecção deve ser tratada como pós-comprometimento: credenciais válidas, exploração de serviço exposto, abuso de administração remota ou outro vetor anterior podem ter sido usados, mas nenhum deles foi confirmado. A parte confirmada é o comportamento do implante após estar em execução no ambiente Linux.
A coleta de informações do sistema é encapsulada em uma estrutura incomum: os dados são transmitidos por meio de um campo PNG após criptografia e codificação em Base64. Esse desenho pode dificultar análises baseadas apenas em strings legíveis ou em conteúdo bruto de requisições, principalmente quando o tráfego é visto sem decodificação de camada de aplicação. Em contrapartida, a operação ainda depende de um processo local fazendo conexões externas, enviando blobs codificados e mantendo relação com infraestrutura de comando e controle; esses elementos podem ser caçados em telemetria de rede, EDR, logs de proxy e inventário de processos.
O módulo de arquivo permite upload e download entre o operador e o host comprometido. Essa capacidade amplia o impacto para além da execução remota: arquivos de configuração, chaves locais, dumps, ferramentas auxiliares, scripts de enumeração e dados de aplicação podem ser extraídos ou inseridos conforme o privilégio do processo infectado. O contexto não confirma quais dados foram roubados, portanto a resposta defensiva deve mapear permissões efetivas do processo, diretórios acessados, arquivos abertos e qualquer transferência anômala no período de atividade.
A função de proxy SOCKS5 é o componente mais relevante para redes de telecomunicações e provedores. Ao ativar esse recurso, o operador pode usar a máquina comprometida como ponte para conversar com sistemas que não possuem exposição pública, mas aceitam conexão a partir do segmento interno. Isso cria risco de enumeração lateral, acesso a painéis administrativos internos, interação com bancos de dados, sondagem de roteadores, servidores de autenticação, equipamentos de gerenciamento e serviços herdados protegidos apenas por isolamento de rede. O malware também consegue procurar outros dispositivos e conectar-se a eles por meio do proxy, reforçando a hipótese de uso como ponto de entrada persistente.
A superfície diretamente afetada inclui servidores Linux em ambientes de telecomunicações, provedores de internet e organizações com redes internas amplas, segmentação complexa e ativos que dependem de confiança por origem. A campanha citada envolve uma operadora no Oriente Médio desde meados de 2022, além de indícios de vítimas em um provedor de internet no Afeganistão e em uma entidade no Azerbaijão. Um segundo cluster de C2, relacionado por semelhanças em certificados X.509, aponta para possíveis comprometimentos nos Estados Unidos e na Ucrânia.
Sistemas com acesso simultâneo à internet e a segmentos internos sensíveis merecem prioridade porque oferecem o melhor retorno operacional ao implante. Bastion hosts, servidores de monitoramento, appliances baseados em Linux, servidores de administração, nós de automação, máquinas de salto e sistemas com rotas para redes de gerência são candidatos naturais a pivô. Mesmo quando o malware roda sem privilégio de núcleo, a combinação de conectividade interna e credenciais locais pode permitir exploração adicional, coleta de configuração e reconhecimento de serviços privados.
- Hosts
Linuxcom conexões externas recorrentes para destinos pouco conhecidos e, ao mesmo tempo, visibilidade para redes internas sensíveis. - Servidores que acessam
Pastebindiretamente a partir de processos de sistema, serviços de aplicação ou contas técnicas sem justificativa operacional. - Ambientes onde máquinas internas aceitam tráfego lateral com base em origem de rede, sem autenticação forte, autorização granular ou inspeção de sessão.
- Infraestrutura relacionada por certificados
X.509semelhantes, especialmente quando a reutilização aparece em servidores deC2ou serviços recém-observados.
A caça deve começar por telemetria de processos e rede em hosts Linux. Procure binários ELF desconhecidos em diretórios temporários, caminhos graváveis por serviço, áreas de cache, diretórios de usuário e locais usados por scripts de administração. A ocultação na lista de processos exige comparação entre múltiplas fontes: visão do EDR, enumeração por /proc, sessões ativas, sockets abertos, unidades de serviço, tarefas agendadas e conexões observadas no sensor de rede. Diferenças entre o que o host relata e o que a rede mostra são fortes indicadores de implante tentando esconder atividade.
No tráfego, investigue conexões de longa duração ou recorrentes para destinos externos que precedem sessões internas incomuns. O proxy SOCKS5 pode aparecer como tráfego iniciado por um host que normalmente não atua como encaminhador. Em redes segmentadas, um sinal relevante é a máquina comprometida passando a conversar com muitos destinos internos, portas administrativas ou serviços que antes não faziam parte do seu perfil. Quando houver inspeção de conteúdo autorizada, blobs criptografados e codificados em Base64 dentro de estruturas compatíveis com PNG devem ser analisados junto com o processo de origem e o destino remoto.
O uso de Pastebin para recuperar um trecho de código é outro ponto de detecção. A data de criação do paste, 11 de janeiro de 2022, ajuda a contextualizar a preparação da operação, mas a defesa deve concentrar-se em acessos diretos de servidores a serviços de paste, downloads de conteúdo textual por processos sem perfil de navegação e execução posterior de código ou alteração de comportamento do processo. O objetivo é identificar a etapa de ocultação, não apenas bloquear um domínio genérico.
- Processo
Linuxdesconhecido mantendo sessão externa e abrindo conexões internas em sequência, com comportamento compatível com proxySOCKS5. - Transferências com conteúdo criptografado e codificado em
Base64encapsulado em campos associados aPNG. - Acesso a
Pastebina partir de servidores, contas de serviço, scripts de inicialização, processos de aplicação ou sistemas de gerenciamento. - Discrepância entre sockets ativos vistos pela rede e processos listados no host, sugerindo ocultação ou manipulação de visibilidade local.
- Certificados
X.509semelhantes em infraestrutura externa relacionada a destinos de comando e controle ou a nós que compartilham padrões de implantação.
A resposta deve isolar primeiro os hosts com sinais de proxy, comunicação C2 ou ocultação de processo, preservando memória, binários, conexões ativas e artefatos de disco antes de reinicializações que possam destruir evidências. Como o vetor inicial não foi confirmado, a contenção não deve assumir uma única porta ou vulnerabilidade. É necessário reconstruir o caminho de entrada com logs de autenticação, exposição de serviços, histórico de atualização, chaves SSH, contas técnicas, VPN, bastions e qualquer sistema que tenha permitido execução no host afetado.
Depois da contenção, a prioridade é remover o implante, fechar caminhos de movimentação lateral e invalidar credenciais que possam ter sido acessadas pelo processo. Em ambientes de telecomunicações e provedores, isso inclui contas de administração de rede, chaves de automação, credenciais de monitoramento, tokens de APIs internas e acessos a painéis de gerência. A função de transferência de arquivos torna prudente revisar diretórios sensíveis acessíveis ao usuário do processo, inclusive configurações, backups locais, scripts com segredos e arquivos de inventário.
A mitigação estrutural passa por reduzir o valor de qualquer host como pivô. Segmente redes internas com regras por identidade e serviço, limite saída direta para a internet a partir de servidores, aplique inspeção em egress, bloqueie uso não justificado de serviços de paste e monitore hosts que fazem tráfego entre zonas. Para serviços internos, substitua confiança baseada apenas em endereço IP por autenticação forte, autorização explícita e registro detalhado de sessão. O proxy SOCKS5 só é útil quando o host comprometido consegue alcançar alvos internos relevantes; diminuir esse alcance reduz o impacto mesmo que outro implante seja executado.
Após erradicação, valide a ausência de recorrência com varreduras de integridade, comparação de pacotes instalados, análise de unidades de serviço, tarefas agendadas, chaves autorizadas, bibliotecas carregadas e conexões de rede. Inclua hunting retroativo desde pelo menos meados de 2022 quando houver retenção suficiente, pois a atividade contra telecomunicações é descrita como prolongada. Onde a retenção for curta, use indicadores comportamentais atuais e inventário de exposição para priorizar os sistemas com maior probabilidade de terem servido como ponte para a rede interna.
- Isolar hosts suspeitos sem destruir evidências voláteis; coletar memória, binários
ELF, conexões, árvore de processos,/proc, logs de autenticação e histórico de rede. - Bloquear ou revisar egress para destinos de
C2, tráfegoSOCKS5não autorizado e acessos diretos aPastebina partir de servidores. - Rotacionar credenciais acessíveis ao host afetado, incluindo chaves SSH, contas técnicas, tokens de automação e segredos presentes em arquivos de configuração.
- Revisar segmentação entre servidores expostos e redes internas, removendo permissões laterais baseadas apenas em origem de rede.
- Caçar padrões de encapsulamento em
PNG, strings codificadas emBase64, certificadosX.509relacionados e conexões internas iniciadas por hosts que não deveriam atuar como proxy.
0 Comentários