来源: https://www.lumen.com/blog/en-us/introducing-showboat-a-new-malware-family-taunts-defenses-and-targets-international-telecom-firms
Lumen 旗下的威胁研究团队 Black Lotus Labs® 发现了一种此前未被报道的 Linux 恶意软件家族 Showboat,该家族曾被用于针对多个地区电信机构的攻击活动。本文将深入剖析该恶意软件的工作原理,分析我们的遥测数据揭示的其背后的基础设施,并阐述这些发现对于追踪针对关键网络的持续性威胁的防御者而言为何至关重要。
主要发现
- Black Lotus Labs 发现了一种新的 Linux 恶意软件家族,我们将其命名为“Showboat”。该恶意软件活动至少从 2022 年年中就开始活跃。
- Showboat 是一个专为 Linux 系统设计的模块化后渗透框架,能够生成远程 shell、传输文件并作为 Socks5 代理运行。
- 近年来,多个与中华人民共和国(PRC)有关联的威胁集群被发现使用相同的后渗透框架和技术。至少有一个,很可能是多个与中国有关联的威胁活动集群使用了 Showboat 工具。
- 该活动影响了中东的一家电信运营商,并冒充了东南亚的电信公司。
- Black Lotus Labs 在研究过程中与普华永道的威胁情报团队进行了合作。我们将继续搜寻此类及类似恶意软件的样本,以保护我们的客户和关键基础设施。
研究概述
Black Lotus Labs 发现了一种名为“Showboat”的新型恶意软件家族。技术证据表明,该恶意软件的活动至少从 2022 年年中就开始了。对该恶意软件的分析揭示了其能够隐藏自身进程、逃避系统管理员监控、传输文件以及执行 Socks5 代理功能,从而能够与网络深处的机器进行交互。我们相信这是首次公开报道该工具集,它凸显了攻击者持续以 Linux 系统为攻击目标,以此作为深入网络的入口。
利用 Lumen 全球遥测数据和我们在研究中发现的网络元素,我们认为该恶意软件至少被一个、很可能是多个与中国相关的活动集群所使用。在发现 Showboat 时,它正被用于针对中东电信运营商的攻击活动,并冒充东南亚的电信公司。我们的分析显示,命令与控制 (C2) 节点以及与中国成都相关的 IP 地址的连接之间存在关联。
Lumen衷心感谢普华永道网络威胁情报团队在本次研究中提供的合作支持。您可以在此处查看他们的报告。Lumen致力于主动防御网络安全,与行业伙伴紧密合作,并持续警惕新兴威胁,以确保我们服务的完整性和可靠性。
背景和语境
鉴于各组织间存在共同的国家目标,以及不同组织间工具和漏洞利用程序的共享日益频繁,仅凭工具信息进行溯源已变得愈发困难。诸如 PoisonIvy、ShadowPad以及最近出现的NosyDoor等共享框架,使得通过这种方法进行溯源变得越来越困难。其他报告也印证了这种资源共享的概念。例如,ESET 报告称,多个与中国结盟的攻击集群都使用了相同的漏洞利用程序,即便该程序本身是一个零日漏洞。
我们认为 Showboat 是多个与中国结盟的威胁行为者使用的最新后渗透框架,我们的报告反映了我们和其他人正在当前形势中观察到的模块化特征。
本研究涵盖以下内容:
- 从逆向工程的角度分析恶意软件及其功能。
- 从恶意软件和相关遥测指标中发现了两个不同的活动集群,可能代表不同的攻击活动。
恶意软件分析
我们对此次攻击活动的调查始于在 VirusTotal 上发现该恶意软件,原因是我们的主动威胁搜寻特征库中出现了匹配项。由于该恶意软件未在任何实际系统中被直接观察到,因此我们无法就其初始访问途径或攻击手段发表评论。该样本是为 AMD x86-64 架构编译的。它于 2025 年 5 月 5 日提交至 VirusTotal,当时的检测率为零,并且截至 2026 年 4 月仍未被检测到。
Showboat 的第一个关键要素是代理程序在安装过程中获取的配置文件。该文件使用硬编码密钥对每个字节进行 XOR 加密,密钥内容是一句俏皮话:“look me, AV!”
该样本首先调用嵌入式 C2 服务器以提取配置文件(本文“网络通信”部分将详细介绍该文件的副本及其分解)。提取完成后,它会收集各种主机配置信息,包括主机名、操作系统信息、正在运行的进程列表、代理进程以及桌面屏幕截图。
然后,将结果与从C2服务器接收的信息(例如代理UUID、代理版本和睡眠间隔)相结合。代理将收集到的基于主机的参数以加密和Base64编码字符串的形式,以PNG字段的形式发送回C2服务器,如图所示。
我们的分析揭示了操作员可以调用的几个预置函数。这些函数允许操作员在主机之间上传和下载文件、将代理程序本身从进程列表中隐藏、获得持久化服务以及更换 C2 节点。
一个值得注意的功能是“隐藏”命令,它允许进程通过检索存储在外部网站(例如 Pastebin 或在线论坛)上的代码,将其作为“死信箱”,从而隐藏自身在主机上的位置。例如,我们发现了一段代码片段,它最早于 2022 年 1 月发布到 Pastebin。与该帖子的交互可能来自受害系统以及网络爬虫,因此“浏览量”并不能可靠地反映受害规模。然而,上传日期可以作为此类活动最早出现日期的一个有用参考点。
另外两个值得进一步研究的网络功能是SOCKS5 和portmap 功能。除了 C2 通信中使用的 URL 不同之外,这两个功能都包含相同的嵌入式例程。区别在于,SOCKS5 功能会在 URL 后附加字符串“ SKS ”,而 portmap 功能则会在 URL 后附加“ MAP ” 。攻击者可以先扫描其他设备,然后通过 SOCKS5 功能连接到这些设备。这两个功能的存在表明 Showboat 的目的是作为攻击立足点。这将允许攻击者与那些未公开暴露于互联网、只能通过局域网访问的机器进行交互。
恶意软件:基于网络的通信
在完成上述初始握手以获取配置文件并与嵌入式 C2 服务器共享本地主机详细信息后,代理程序会创建一个 JSON 字符串,其中包含有关受感染主机、恶意软件版本和唯一 UUID 的信息。该 JSON 字符串使用 UUID 的最后 5 位数字作为密钥进行“加密”。解密后的配置文件副本如下所示:
SERVER_ADDRESS = telecom.webredirect[.]org
RESOLVE_IP = NULL
服务器端口 = 80
代理地址 =
代理端口 = 0
最小睡眠时间 = 5
最大睡眠时间 = 10
SLOW_MODE_MIN_SLEEP = 20
SLOW_MODE_MAX_SLEEP = 25
解析此主机名telecom.webredirect[.]org ,确定了位于 IP 地址139.84.227[.]139 的 C2 节点,即原始 C2 节点 。
相关指标、独立活动集群和网络遥测
主要活动群
我们的调查始于提取主机名telecom[.]webredirect[.]org ,它为我们提供了第一个活跃的 C2 节点。我们注意到该 IP 地址139.84.227[.]139 开放了四个端口。其中最重要的是使用元数据“My Organization”的自签名 X.509 证书,其 SHA256 指纹以 27df475626aafce2ea1548a9f35efb9ad951298c8b11a6adb3ccdfcd5170c677 开头。该指纹是我们围绕“主集群”进行聚类分析的核心数据点。(与 Showboat 关联的 IP 地址完整列表将发布在我们的 GitHub 上。)我们高度确信所有这些节点都与 Showboat 相关联。
139.84.227[.]139 上的其他开放端口包括 9999,该端口显示了 Socks5 横幅。此外,端口 53(通常与 DNS 相关联)上存在一个自签名的 x.509 证书,时间至少为 2025 年 3 月 15 日至 17 日。我们推测,攻击者可能已将恶意软件配置为通过端口 53 进行通信,以绕过防火墙等网络安全产品。
第四个开放端口,即端口 80,端口 80 上存在一个 X.509 证书,其
SHA256 指纹为:E28a96f983b8605decd2ac1db16ebad5fa741a6aa4e585a38ade0e5ad7d6cec0 。该证书也存在于 IP 地址为194.135.25[.]132 的 第二个 C2 服务器上,并指向该服务器。
主要集群与区域电信运营商的交互:
在围绕主要集群相关的网络元素展开分析时,我们发现了两个托管冒充区域电信组织的域名的 IP 地址:
- 23.27.201[.]160 解析了singtelcom[.]site 域名
- 101.36.105[.]222 解析了kaztelecom[.]shop 域名
鉴于其中两个域名似乎模仿了特定的电信公司,而原始样本包含通用主机名telecom[.]webredirect[.]org ,我们可以推测主要攻击集群的目标是电信公司,特别是亚洲的电信公司。我们的全球遥测数据也支持这一推断,我们确认了至少两名受害者。我们首先观察到来自一家阿富汗互联网服务提供商的 Outlook 服务器的连接,该服务器与 C2 节点194.135.25[.]132 通信。这两个节点之间的连接时间从 2025 年 12 月 1 日持续到 2026 年 2 月 3 日。从主要攻击集群中识别出的第二名受害者位于阿塞拜疆。
可能的上游基础设施
在对主集群进行调查的过程中,我们发现一个 IP 地址,其 SHA256 指纹与原始 C2 服务器相同,但不同之处在于它与任何已知的 VPS 提供商都不关联。该节点 IP 地址为116.169.244[.]208:2096, 解析到中国联通,大致位于成都地区。由于该节点未与任何 VPS 关联,我们怀疑它可能代表上游 IP 地址或开发人员的测试环境。
次要活动集群和基础设施
主要的 C2 节点集群共享相同的 SHA256 指纹。我们扩大了搜索条件,寻找具有相同元数据属性(例如相同的主题 DN 和颁发者 DN)的类似 X.509 证书,包括那些具有不同 SHA256 指纹的证书,因为我们怀疑这些节点可能是 Showboat 的其他 C2 节点。
采用类似Censys在此概述的技术,我们发现了另外 20 个共享元数据属性的 C2 节点,其中两个节点我们将在下文进一步分析。我们怀疑这些节点使用的证书很可能是由同一个启动脚本生成的。证书核心属性不变,但加密值却各不相同,这表明它们可能来自不同的攻击活动。每个 C2 节点的受害者数量都很少或只有一个。
这些不同的指纹可能代表其他与中国有关联的活动集群所使用的基础设施。值得注意的是,我们只发现一个 SHA256 指纹(2229e7f3cabbce4d67cd79c89fd5a100b20e8a99f4a2bf9aac77a978f49eb520 )同时出现在两个不同的 IP 地址上。所有其他疑似 C2 节点都具有与不同 IP 地址对应的唯一 SHA256 指纹。
我们查询了具有“My Organization”x.509证书元数据属性的节点,并识别出两个潜在的安全漏洞——均来自美国——与位于192.9.141[.]111 的C2服务器相关联。第一个漏洞的活跃期为2025年12月29日至2026年1月12日,而第二个潜在受害者在2025年11月27日至28日期间进行了大约一天的通信。两个受害者的流量均使用9999端口,该端口与另一个C2节点上的Socks5代理服务相关联。
另一个C2服务器,IP地址64.176.43[.]209 ,似乎与位于乌克兰西部/俄罗斯边境争议地区的乌克兰IP地址进行通信。正如我们过去所见,中国境内的行动者倾向于将地理区域与不同的活动集群关联起来;我们有一定把握认为,此次对顿巴斯地区的关注是不同组织之间共享工具的又一例证。
电信网络仍然是入侵的主要目标
卫星和电信运营商仍然是国家级威胁行为体的战略目标,尤其是那些地理位置靠近大国的运营商。即使最终目标位于北美,电信公司的全球互联性也意味着风险会迅速蔓延至全球。由于这些机构对于传输用户语音和数据至关重要,因此它们是任何组织供应链的关键组成部分。
尽管一些威胁行为者越来越多地使用隐蔽的本地系统工具来逃避检测,但仍有一些行为者部署持久性恶意软件植入程序。此类威胁的存在应被视为早期预警信号,表明受影响的网络可能存在更广泛、更严重的安全问题。
正如我们之前的许多报告所述,我们发现威胁行为者倾向于在基于 Linux 的系统和路由器上持续存在,而这些系统和路由器通常不运行任何类型的 EDR(端点检测与响应)系统。因此,我们建议各组织机构密切关注其网络边界,并持续监控诸如来自与业务流程没有明显关联的服务器的东西向流量等事件。
Black Lotus Labs 将继续主动搜寻独特的遥测信号。我们将继续与信息安全社区合作,并在发现更多与特定活动集群或有趣数据点相关的线索时发布更新。我们鼓励其他组织报告此类信息,并分享他们观察到的相关发现。
习家平语:
密钥内容是一句俏皮话:“look me, AV!”
如果是 look me, XIJINGPIN! 想必大家都知道是浪友了