Investigadores de ciberseguridad han revelado detalles de un nuevo malware para Linux denominado Barco con teatro a bordo que se ha utilizado en una campaña dirigida a un proveedor de telecomunicaciones en el Medio Oriente desde al menos mediados de 2022.
«Showboat es un marco modular post-explotación diseñado para sistemas Linux, capaz de generar un shell remoto, transferir archivos y funcionar como un proxy SOCKS5», dijo Lumen Technologies Black Lotus Labs en un informe compartido con The Hacker News.
Se evalúa que el malware ha sido empleado por al menos uno, y posiblemente más, grupos de actividad de amenazas afiliados a China, con correlaciones identificadas entre los nodos de comando y control (C2) y las direcciones IP geolocalizadas en Chengdu, la ciudad capital de la provincia china de Sichuan.
Esto coloca a Showboat junto con otros marcos compartidos como PlugX, ShadowPad y NosyDoor que han sido utilizados por múltiples grupos de China-nexus. Esta «agrupación de recursos» refuerza la presencia de un intendente digital en el que los actores de amenazas patrocinados por el estado de China han confiado para proporcionarles las herramientas necesarias.
El punto de partida de la investigación fue un binario ELF que se subió a VirusTotal en mayo de 2025, y la plataforma de escaneo de malware lo clasificó como una sofisticada puerta trasera de Linux con capacidades similares a las de un rootkit. Kaspersky está rastreando el artefacto como EvaRAT.
El malware está diseñado para contactar a un servidor C2, recopilar información del sistema y transmitir la información al servidor en un campo PNG como una cadena cifrada y codificada en Base64. También está equipado para cargar y descargar archivos hacia y desde la máquina host, ocultar su presencia de la lista de procesos y administrar servidores C2.
Para ocultarse en la máquina host, Showboat recupera un fragmento de código alojado en Pastebin. La pasta se creó el 11 de enero de 2022. Además, el malware puede buscar otros dispositivos y conectarse a ellos a través del proxy SOCKS5. Esto sugiere que el objetivo principal de Showboat es establecer un punto de apoyo en los sistemas comprometidos.
«Esto permitiría a los atacantes interactuar con máquinas que no están expuestas públicamente a Internet y sólo son accesibles a través de la LAN», dijo Black Lotus Labs.
Un análisis más profundo de la infraestructura ha descubierto dos víctimas: un proveedor de servicios de Internet (ISP) con sede en Afganistán y otra entidad desconocida ubicada en Azerbaiyán. Un clúster C2 secundario que utiliza certificados X.509 similares a los del servidor C2 original ha descubierto dos posibles compromisos en EE. UU. y uno en Ucrania.
«Mientras que algunos actores de amenazas utilizan cada vez más herramientas nativas y sigilosas del sistema para evadir la detección, otros todavía implementan implantes de malware persistentes», dijo el investigador de Black Lotus Labs, Danny Adamitis. «La presencia de tales amenazas debe tomarse como una señal de alerta temprana, que indica la posibilidad de que se produzcan problemas de seguridad más amplios y graves dentro de las redes afectadas».