كشف باحثون في الأمن السيبراني عن تفاصيل برمجية خبيثة جديدة تستهدف أنظمة لينكس، أُطلق عليها اسم Showboat، والتي استُخدمت منذ منتصف عام 2022 في حملة تجسس إلكتروني ضد مزود اتصالات في الشرق الأوسط.
قدرات Showboat التقنية
تُوصف البرمجية بأنها إطار ما بعد الاستغلال (Post-Exploitation Framework) مصمم خصيصاً لأنظمة لينكس، يتميز بقدرات متعددة تشمل:
- فتح واجهة طرفية عن بُعد (Remote Shell) لتنفيذ الأوامر.
- رفع وتنزيل الملفات بين الجهاز المخترق والخادم المهاجم.
- العمل كبروكسي SOCKS5 للاتصال بالأجهزة الأخرى داخل الشبكة المحلية، ما يسمح للمهاجمين بالوصول إلى أنظمة غير مكشوفة على الإنترنت.
كما أن البرمجية قادرة على إخفاء وجودها من قائمة العمليات، وإرسال بيانات النظام إلى خادم التحكم والسيطرة (C2) عبر حقول PNG مشفرة ومشفرة بـ Base64.
ارتباطات مع مجموعات صينية
أشارت تقارير Black Lotus Labs التابعة لشركة Lumen Technologies إلى أن البنية التحتية المرتبطة بـ Showboat تتقاطع مع عناوين IP في مدينة تشنغدو الصينية، ما يعزز فرضية ارتباطها بمجموعات تهديد صينية.
من أبرز هذه المجموعات Calypso (المعروفة أيضاً باسم Bronze Medley وRed Lamassu)، والتي تنشط منذ عام 2016 واستهدفت مؤسسات حكومية في دول مثل البرازيل والهند وكازاخستان وروسيا وتايلاند وتركيا.
ترسانة Calypso تشمل أدوات مثل PlugX وWhiteBird وBYEBY، وهي أدوات مرتبطة بمجموعات أخرى مثل Mikroceen وWebworm، ما يعكس نمط “تجميع الموارد” الذي تعتمد عليه مجموعات التهديد الصينية عبر مشاركة الأطر والأدوات مثل ShadowPad وNosyDoor.
ضحايا إضافيون وتحليل البنية التحتية
بدأ التحقيق بعد رفع ملف ELF إلى منصة VirusTotal في مايو 2025، حيث صنّفته كاسبرسكي كبرمجية خلفية متقدمة باسم EvaRAT.
التحليل كشف عن ضحايا إضافيين بينهم مزود خدمة إنترنت في أفغانستان وكيان غير معروف في أذربيجان، إضافة إلى مؤشرات على اختراقات في الولايات المتحدة وأوكرانيا عبر بنية تحتية ثانوية تستخدم شهادات X.509 مشابهة.
البرمجية تستعين أيضاً بمقتطفات كود مخزنة على Pastebin منذ يناير 2022 لإخفاء نفسها على الأجهزة المصابة.
هجمات موازية عبر JFMBackdoor
إلى جانب Showboat، استخدمت مجموعة Calypso في حملتها ضد مزود الاتصالات في أفغانستان برمجية خلفية أخرى لنظام ويندوز تُعرف باسم JFMBackdoor، يتم تحميلها عبر تقنية DLL Side-Loading.
هذه البرمجية تدعم قدرات واسعة تشمل الوصول إلى واجهة طرفية عن بُعد، عمليات الملفات، بروكسي الشبكة، التقاط لقطات شاشة، وحتى إزالة نفسها ذاتياً لتجنب الكشف.
تقرير PwC أشار إلى أن استهداف قطاع الاتصالات في أفغانستان يتماشى مع أهداف Red Lamassu الأوسع في المنطقة.
