Showboat unterscheidet sich von anderen Linux-Bedrohungen durch seine Fähigkeit, sich tief in Systeme einzugraben und als Sprungbrett für weitere Angriffe zu dienen. Das Framework wurde erst durch ein ELF-Binary bekannt, das im Mai 2025 auf VirusTotal hochgeladen wurde. Kaspersky katalogisiert das Artefakt unter der Bezeichnung EvaRAT und klassifiziert es als hochgradig manipuliert Linux-Backdoor mit Rootkit-ähnlichen Fähigkeiten.
Die technische Funktionsweise ist bemerkenswert: Die Malware verbindet sich mit einem Command-and-Control-Server (C2), sammelt Systeminformationen und übermittelt diese verschlüsselt und Base64-codiert in PNG-Feldern zurück. Besonders clever ist die Verschleierungsmethode – Showboat lädt einen Code-Snippet von Pastebin herunter, um seine Anwesenheit in der Prozessliste zu verbergen. Dieser Pastebin-Eintrag stammt vom 11. Januar 2022.
Die SOCKS5-Proxy-Funktionalität ermöglicht es den Angreifern, auf interne Netzwerke zuzugreifen, die nicht öffentlich erreichbar sind – ein kritischer Vorteil für Angreifer in Unternehmensnetzwerken. Showboat kann zudem andere Geräte scannen und sich über das Proxy-Netzwerk mit ihnen verbinden.
Bisherige Opfer sind dokumentiert: Ein ISP in Afghanistan und eine unbekannte Entität in Aserbaidschan. Ein sekundärer C2-Cluster mit ähnlichen X.509-Zertifikaten deutet auf mögliche Kompromittierungen in den USA und der Ukraine hin.
Das Besorgnis erregende Muster ist die “Ressourcen-Pooling” – mehrere chinesische Hackergruppen nutzen offenbar die gleiche Infrastruktur und Werkzeuge. Dies deutet auf eine zentrale Koordination durch einen digitalen “Quartermaster” für staatlich geförderte Bedrohungsakteure hin.
Forscher warnen: Solche persistenten Malware-Implantate sind Frühindikatoren für umfassendere Sicherheitsprobleme in betroffenen Netzwerken. Während einige Angreifer zu nativen Systemtools greifen, setzen andere weiterhin auf spezialisierte, persistent wirkende Malware – ein Zeichen professioneller, langfristig ausgelegter Kampagnen.