#Linux & Open Source · 4 Min. Lesezeit · Tim Rinkel

LINUX-SCHOCK! Heimliche Backdoor „Showboat“ kapert Server seit 2022 — so versteckt sie sich

LINUX-SCHOCK! Heimliche Backdoor „Showboat“ kapert Server seit 2022 — so versteckt sie sich

Linux gilt vielen als die sichere Bank im Serverraum — und genau deshalb ist diese Meldung ein Weckruf. Sicherheitsforscher haben eine bislang unbekannte Linux-Malware namens „Showboat“ enttarnt, die einen Telekommunikationsanbieter im Nahen Osten seit mindestens Mitte 2022 heimlich ausspioniert hat. Über drei Jahre unentdeckt — das ist die eigentliche Schockmeldung.

WAS Showboat so gefährlich macht

Showboat ist kein simpler Trojaner, sondern ein modulares Post-Exploitation-Framework. Übersetzt heißt das: kein starres Schadprogramm, sondern ein flexibler Werkzeugkasten, den die Angreifer je nach Ziel erweitern. Der Begriff „Post-Exploitation“ bedeutet außerdem, dass die Malware erst zum Einsatz kommt, nachdem der erste Einbruch schon gelungen ist — sie dient dazu, sich festzusetzen und auszubreiten. Zum Repertoire gehören:

  • Eine Remote-Shell — die Angreifer steuern den Server, als säßen sie direkt davor.
  • Dateitransfer in beide Richtungen — Werkzeuge rein, Beute raus.
  • Ein SOCKS5-Proxy — damit springen die Täter von der gekaperten Maschine tiefer ins interne Netz.

Der Proxy-Trick: vom einen Server ins ganze Netz

Genau dieser SOCKS5-Proxy ist der eigentliche Clou. Showboat dient als Brückenkopf, um Maschinen zu erreichen, die gar nicht aus dem Internet erreichbar sind, sondern nur intern im LAN hängen. Diese Technik nennt man Lateral Movement: Der Angreifer hangelt sich vom ersten kompromittierten System aus Schritt für Schritt zu wertvolleren Zielen — Datenbanken, Backup-Servern, Domänencontrollern. Showboat sammelt zudem System-Infos und kann nach weiteren Geräten im Netz scannen.

UNGLAUBLICH: Tarnung über Pastebin und PNG-Tricks

Showboat versteckt sich richtig clever. Um sich auf dem Server unsichtbar zu machen, lädt die Malware ein Code-Schnipsel von Pastebin nach — ein ganz normaler Text-Dienst, der bei keinem Admin Alarm schlägt. Damit blendet sie sich aus der Prozessliste aus: Wer mit den üblichen Bordmitteln nach laufenden Prozessen sucht, sieht sie schlicht nicht.

Auch beim Abfluss der Daten trickst Showboat: Gesammelte Informationen werden verschlüsselt, Base64-kodiert und in einem PNG-Feld zum Command-and-Control-Server (C2) geschickt. Für oberflächliche Filter sieht das aus wie harmloser Bild-Traffic. Diese doppelte Tarnung — unsichtbarer Prozess plus getarnte Kommunikation — erklärt, warum die Backdoor so lange durchrutschen konnte.

WER dahintersteckt

Die Forscher ordnen Showboat mindestens einem, womöglich mehreren China-nahen Aktivitäts-Clustern zu. Konkret fällt der Name Calypso (auch bekannt als Bronze Medley bzw. Red Lamassu). Spuren der C2-Infrastruktur führen zu IP-Adressen in der Region Chengdu, China. Es geht hier also nicht um Massen-Kriminalität, sondern um gezielte Spionage gegen ein hochwertiges Ziel — einen Telekommunikationsanbieter, also einen Knotenpunkt für riesige Datenmengen.

EXTRA-TIPP: Worauf du als Admin achten solltest

Auch wenn die Kampagne bislang gezielt war — die Methoden sind universell und tauchen früher oder später auch anderswo auf. Halte die Augen offen nach:

  • Prozess-Mismatch: Vergleiche die Ausgabe von ps mit dem, was wirklich im System läuft (z. B. via /proc oder Tools wie rkhunter). Versteckte Prozesse sind ein dickes Warnsignal.
  • Ungewöhnliche Pastebin-Abrufe oder Verbindungen zu Text-Hosting-Diensten von Servern, die so etwas nie tun sollten.
  • Unerklärliche SOCKS5-Verbindungen oder seltsamer ausgehender Traffic, vor allem in PNG- oder Base64-Form.

FAZIT: Auch Linux braucht Wachsamkeit

Showboat führt vor Augen, dass auch gut gepflegte Linux-Server jahrelang unbemerkt kompromittiert sein können. Setz auf Monitoring, das versteckte Prozesse aufspürt, schränke ausgehende Verbindungen konsequent ein und überprüfe regelmäßig, was dein Server eigentlich nach außen funkt. Ergänzend helfen Datei-Integritäts-Checks, ein zentrales Log-Management und das Prinzip der minimalen Rechte: Je weniger ein kompromittierter Dienst darf, desto schwerer hat es eine Backdoor, sich auszubreiten. Sicherheit ist kein Zustand, sondern eine Gewohnheit.

Häufige Fragen

Was genau ist Showboat?
Showboat ist eine neu entdeckte, modulare Linux-Backdoor bzw. ein Post-Exploitation-Framework. Sie kann eine Remote-Shell öffnen, Dateien übertragen und als SOCKS5-Proxy arbeiten, um tiefer in interne Netze vorzudringen. Eingesetzt wurde sie gegen einen Telekom-Anbieter im Nahen Osten — seit mindestens Mitte 2022.
Wie versteckt sich die Malware vor Entdeckung?
Showboat lädt ein Code-Schnipsel von Pastebin nach, um sich aus der Prozessliste auszublenden. Gesammelte Daten verschlüsselt sie, kodiert sie Base64 und schleust sie in einem PNG-Feld zum C2-Server aus — getarnt als harmloser Bild-Traffic. Dadurch blieb sie über drei Jahre unentdeckt.
Wer steckt hinter Showboat?
Die Forscher führen Showboat auf mindestens einen China-nahen Aktivitäts-Cluster zurück, konkret den Akteur Calypso (auch Bronze Medley / Red Lamassu). Spuren der Command-and-Control-Infrastruktur deuten auf IP-Adressen im Raum Chengdu, China. Es handelt sich um gezielte Spionage, nicht um Massenangriffe.
Wie erkenne ich, ob mein Server betroffen sein könnte?
Achte auf versteckte Prozesse (Abgleich von ps mit /proc oder Tools wie rkhunter), auf ungewöhnliche Verbindungen zu Pastebin und auf seltsamen ausgehenden Traffic, etwa über SOCKS5 oder in Base64/PNG-Form. Wer ausgehende Verbindungen restriktiv filtert, erschwert solchen Backdoors die Arbeit erheblich.

Quellen:
The Hacker News ·
TechNadu ·
Dark Reading
Stand: 22.05.2026. Dies ist ein sensibles Sicherheitsthema; die Zuordnung zu Akteuren beruht auf Einschätzungen der zitierten Forscher.

Kommentar hinterlassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert