Um framework de malware sofisticado vinculado à China tem sido utilizado silenciosamente para alvejar empresas de telecomunicações no Oriente Médio há quase quatro anos. O Showboat é uma ferramenta baseada em Linux que permaneceu completamente oculta dos sistemas antivírus até abril de 2026, levantando sérias preocupações sobre a segurança da infraestrutura crítica de comunicações em todo o mundo.
Descoberta e escopo da ameaça
Os pesquisadores de segurança da Picus descobriram e documentaram essa ameaça em um relatório compartilhado com a Cyber Security News. Eles encontraram que o Showboat estava ativo desde meados de 2022 e evadiu todos os 65 motores antivírus no VirusTotal quando escaneado em maio de 2025. Esse nível de invisibilidade permitiu que os atacantes operassem livremente dentro das redes de telecomunicações por quase quatro anos sem disparar um único alarme.
Os analistas atribuem o malware com confiança moderada a alta a grupos de ameaças apoiados pela China. Essa atribuição baseia-se na infraestrutura de comando e controle rastreada até Chengdu, China. As táticas e ferramentas usadas também se assemelham muito às vistas em outras operações conhecidas de ameaça persistente avançada chinesas atualmente ativas na região.
Vetor e exploração técnica
Uma vez que o Showboat é executado em uma máquina vítima, ele recupera um arquivo de configuração criptografado de seu servidor de comando e controle embutido. A configuração é embaralhada usando um simples cipher XOR com a chave fixa "look me, AV!", uma frase que quase parece provocativa em relação às ferramentas de segurança. Uma vez decodificada, a configuração revela o endereço do servidor, configurações de porta e intervalos de sono aleatórios usados entre as verificações.
Em vez de pingar seu servidor em intervalos fixos, o que seria fácil de sinalizar, o Showboat randomiza o tempo de espera entre as conexões. Ele coleta detalhes do host, incluindo o nome do sistema, informações do sistema operacional, processos em execução e até captura uma captura de tela. Todos esses dados são criptografados, codificados em base64 e escondidos dentro de um campo de imagem PNG antes de serem enviados, fazendo com que o tráfego pareça completamente inofensivo.
O que torna o Showboat especialmente difícil de detectar é seu comando "hide". Quando acionado, ele busca um pequeno arquivo de origem C de uma página Pastebin configurada pelos atacantes, compila-o na máquina da vítima e usa um recurso do Linux chamado ld.so.preload para hookear chamadas de sistema. Isso torna os processos do malware completamente invisíveis para ferramentas padrão como ps e top, que os administradores usam para monitorar a atividade do servidor.
Impacto e alcance
O malware foi implantado exclusivamente contra empresas de telecomunicações no Oriente Médio, um padrão que aponta para uma campanha de espionagem deliberada e de longo prazo. Os provedores de telecomunicações lidam com enormes quantidades de dados de comunicação sensíveis, tornando-os alvos de alto valor para atores de estado-nação que buscam acesso sustentado à inteligência. O foco geográfico e de setor estreito deixa pouca dúvida sobre a natureza estratégica desses ataques.
A combinação de técnicas de evasão empilhadas é o que realmente diferencia o Showboat da maioria dos malwares em circulação. Permanecer indetectável por cerca de quatro anos é uma prova forte de que métodos de evasão em camadas podem superar as defesas tradicionais por um tempo muito longo.
Medidas de mitigação recomendadas
As equipes de segurança são fortemente encorajadas a simular cenários de ataque Showboat para verificar se seus controles existentes podem detectar esse tipo de ameaça. Testar contra o comportamento real do malware, tanto na infiltração de rede quanto nos caminhos de entrega por e-mail, dá aos defensores uma visão mais nítida de onde estão as lacunas reais e o que precisa ser corrigido antes que os atacantes encontrem essas aberturas primeiro.
Os indicadores de comprometimento (IoCs) incluem o domínio telecom.webredirect[.]org, o arquivo ukpkmkk.c obtido do Pastebin, o arquivo compilado ukpkmkk.so injetado via ld.so.preload e a chave XOR fixa "look me, AV!". Os administradores devem monitorar o arquivo /etc/ld.so.preload e filtrar nomes de processos como kworkers, dbus e autoupdate que podem ser ocultados pelo rootkit.
O que os CISOs devem fazer imediatamente
As organizações devem revisar seus logs de sistema em busca de atividades de compilação suspeitas em servidores Linux, especialmente aquelas que envolvem arquivos de origem C baixados de serviços de hospedagem de código. A implementação de soluções de detecção de comportamento que identifiquem o uso anormal de ld.so.preload é crítica. Além disso, a segmentação de rede deve ser reforçada para limitar o acesso de servidores Linux a serviços de internet não essenciais, reduzindo a superfície de ataque para esse tipo de malware persistente.