Showboatマルウェア、中東通信事業者標的活動を確認

Showboatマルウェア、中東通信事業者標的活動を確認

Lumen Technologies傘下のBlack Lotus Labsは、新たなLinuxマルウェア「Showboat」に関する分析結果を公開した。本マルウェアは、2022年中頃から中東地域の通信事業者を対象に活動しているとされる。

Showboatは、SOCKS5プロキシ機能を備えたバックドアとして動作し、侵入後にモジュール型のポストエクスプロイトフレームワークとして利用される。リモートシェル生成、ファイル転送、SOCKS5通信などの機能が確認されている。

また、分析では、C2サーバー関連IPの一部が中国・四川省成都地域に関連していたとされる。Black Lotus Labsは、PlugX、ShadowPad、NosyDoorなど過去に報告された中国系マルウェアとのインフラ上の類似点にも言及している。

Showboat分析と通信インフラ利用手法

Showboatは、2025年5月にVirusTotalへアップロードされたELF形式バイナリを通じて分析が進められた。Linux向けバックドアとして分類されており、Kasperskyは本マルウェアを「EvaRAT」として追跡している。

本マルウェアは、C2サーバーとの通信を通じてシステム情報を収集し、Base64形式でデータを送信する構成となっている。また、ファイル転送、プロセス制御、SOCKS5通信機能などが確認されている。

さらに、Pastebin上のコードを利用した外部通信や、ネットワーク内デバイス探索機能も確認されている。SOCKS5プロキシを利用した通信経路構築を行う点も特徴とされる。

Black Lotus Labsは、本件においてネイティブシステムツールや継続的なマルウェア配布を組み合わせた運用形態に言及している。Showboat関連活動では、中東地域の通信インフラを対象としたネットワーク活動が確認されている。