Die Entdeckung von Showboat verdeutlicht eine beunruhigende Strategie: Chinesische APT-Gruppen teilen ihre Werkzeuge untereinander und testen diese zunächst in Märkten mit schwächerer Cybersicherheit, bevor sie sie gegen hochwertigere Ziele einsetzen. Das zeigt eine detaillierte Analyse von Black Lotus Labs und PricewaterhouseCoopers (PwC).
Showboat ist eine Linux-Post-Exploitation-Framework mit einer bemerkenswert einfachen, aber effektiven Funktionsweise. Seine Hauptstärke liegt in der Fähigkeit, Geräte in lokalen Netzwerken (LANs) zu scannen und zu infizieren — selbst solche, die nicht direkt mit dem Internet verbunden sind. Wie Danny Adamitis, Principal Information Security Engineer bei Black Lotus Labs, ausdrückt: „Wenn man diese Malware im eigenen Netzwerk findet, ist wahrscheinlich noch viel mehr Schlimmes im Netzwerk, und man hat gerade ein sehr langes Wochenende vor sich.”
Die meisten dokumentierten Anschläge zielten auf Infrastruktur in Afghanistan, Aserbaidschan und dem Nahost-Raum ab. PwC identifizierte die APT-Gruppe Calypso (auch als Red Lamassu bekannt) als primären Nutzer. Calypso operiert seit 2019 mit Fokus auf Länder mit weniger entwickelter Cybersecurity-Landschaft: Afghanistan, Kasachstan, die Türkei und Indien.
Showboat wird oft parallel zu einem Windows-Backdoor namens JFMBackdoor eingesetzt, was eine flexible Anpassung an verschiedene Zielumgebungen ermöglicht. Telekommunikationsunternehmen verwenden typischerweise Linux- und Unix-basierte Systeme — eine Schwachstelle, die Showboat gezielt ausnutzt.
Was überrascht: Die Malware ist nicht besonders sophistiziert. Sie nutzt keine exotischen Techniken wie die Kommunikationsverschleierung via ICMP-Pings (wie etwa BPFdoor) oder Living-off-the-Land-Taktiken. Stattdessen beweist Showboat, dass auch einfache Werkzeuge in schlecht gesicherten Umgebungen enormen Schaden anrichten können. Ryan English, Forscher bei Black Lotus Labs, deutet an, dass chinesische Akteure bewusst eine Strategie verfolgen: Sie testen Malware in virtuellen Umgebungen, führen dann begrenzte Feldversuche in weniger reifen Märkten durch und skalieren später, wenn sich der Erfolg bestätigt.
Für deutsche Unternehmen und Behörden ergibt sich eine wichtige Lektion: Linux-Infrastrukturen genießen oft nicht den gleichen Sicherheitsstatus wie Windows-Systeme, obwohl gerade in Kritischen Infrastrukturen Linux dominiert. Das BSI sollte Warnungen zu Showboat ausgeben und Betreiber von Telekommunikationsinfrastruktur zur Erhöhung ihrer Netzwerk-Monitoring-Kapazitäten auffordern.