Nach Angaben von Black Lotus Labs handelt es sich bei Showboat – auch als kworker bezeichnet – um ein modulares Post-Exploitation-Framework, das nach einer erfolgreichen Erstkompromittierung für langfristige Persistenz sorgen soll. Wie die Angreifer ursprünglich in die Systeme eindringen, ist nicht bekannt.

Ist die Malware einmal installiert, beginnt sie mit dem Sammeln von Host-Informationen und sendet diese an einen Command-and-Control-Server. Showboat kann außerdem Dateien hoch- und herunterladen, den eigenen Prozess verbergen und sich über einen neu angelegten Dienst dauerhaft im System verankern.

Eine bemerkenswerte Funktion ist laut den Forschern von Black Lotus Labs der Befehl „hide": Damit kann sich ein Prozess auf dem Rechner tarnen, indem er Code von externen Webseiten wie Pastebin oder Online-Foren abruft und diese als sogenannten „toten Briefkasten" nutzt.

Die zentrale Funktion von Showboat besteht jedoch darin, als SOCKS5-Proxy und Pivot-Punkt für Port-Weiterleitung zu dienen. So verschafft sich die Malware einen Brückenkopf auf kompromittierten Endpunkten und ermöglicht es den Angreifern, sich seitlich auf andere Systeme im internen Netzwerk zu bewegen.

Die Infektionskette unter Windows analysierten Forscher von PwC Threat Intelligence. Sie beginnt mit der Ausführung eines Batch-Skripts, das Schadkomponenten ablegt und so ein DLL-Sideloading vorbereitet (fltMC.exe und FLTLIB.dll). Am Ende dieser Kette wird das eigentliche Schadprogramm JFMBackdoor geladen – laut den Forschern ein voll ausgestattetes Windows-Implantat für Spionagezwecke.

Die Untersuchung der Angriffsinfrastruktur legt nahe, dass die Täter nach einem teilweise dezentralen Modell arbeiten: Mehrere Cluster teilen ähnliche Muster bei der Zertifikatserzeugung sowie dasselbe Werkzeugarsenal, greifen aber jeweils unterschiedliche Opfergruppen an. Lumen schlussfolgert daraus, dass das Werkzeugset wahrscheinlich von mehreren China-nahen Bedrohungsgruppen gemeinsam genutzt wird, die jeweils verschiedene Regionen anvisieren und auf dasselbe Malware-Ökosystem zurückgreifen.