Ausgangspunkt der Untersuchung war eine ELF-Binärdatei, die im Mai 2025 zu VirusTotal hochgeladen wurde. Die Analyseplattform stufte sie als ausgefeilte Linux-Backdoor mit rootkit-ähnlichen Fähigkeiten ein. Kaspersky führt dasselbe Artefakt unter der Bezeichnung EvaRAT.

Showboat kontaktiert einen C2-Server, sammelt Systeminformationen und überträgt sie verschlüsselt sowie Base64-kodiert in einem PNG-Feld zurück an den Server. Daneben kann die Malware Dateien auf den infizierten Rechner laden und von dort abrufen, sich aus der Prozessliste ausblenden und C2-Server verwalten.

Um sich auf dem befallenen System zu verbergen, lädt Showboat einen Code-Schnipsel von Pastebin nach; der entsprechende Eintrag wurde am 11. Januar 2022 angelegt. Zusätzlich kann die Malware nach weiteren Geräten suchen und sich über den SOCKS5-Proxy mit ihnen verbinden. Das deutet darauf hin, dass Showboat in erster Linie dazu dient, sich auf kompromittierten Systemen festzusetzen.

„Damit könnten die Angreifer mit Rechnern interagieren, die nicht öffentlich über das Internet erreichbar sind und nur über das lokale Netz angesprochen werden können", erklärte Black Lotus Labs.

Eine weitergehende Analyse der Infrastruktur förderte zwei Opfer zutage: einen Internetdienstanbieter mit Sitz in Afghanistan sowie eine weitere, nicht identifizierte Einrichtung in Aserbaidschan. Ein zweiter C2-Verbund, der ähnliche X.509-Zertifikate wie der ursprüngliche C2-Server verwendet, deutet auf zwei mögliche Kompromittierungen in den USA und eine in der Ukraine hin.

„Während einige Bedrohungsakteure zunehmend auf unauffällige, systemeigene Werkzeuge setzen, um einer Entdeckung zu entgehen, bringen andere weiterhin dauerhaft installierte Malware-Implantate zum Einsatz", sagte Danny Adamitis, Forscher bei Black Lotus Labs. Das Auftreten solcher Bedrohungen sei als frühes Warnsignal zu werten, das auf das Potenzial für umfassendere und ernstere Sicherheitsprobleme in den betroffenen Netzen hinweise.