Linux tabanlı Showboat adlı modüler arka kapının, Orta Doğu’daki bir telekomünikasyon sağlayıcısını hedef alan kampanyada en az 2022 ortasından bu yana kullanıldığı değerlendiriliyor. Zararlı yazılımın, uzak kabuk açma, dosya aktarımı ve SOCKS5 proxy işleviyle kalıcı erişim sağlamak için tasarlandığı; ayrıca ağ içi keşif ve komuta-kontrol (C2) trafiğini gizlemek amacıyla kullanıldığı anlaşılıyor.
İlk bulgular, bu kampanyanın yalnızca tek bir operatörle sınırlı olmayabileceğine işaret ediyor. Analiz edilen C2 altyapısı ile Çin’in Sichuan eyaletindeki Chengdu bölgesine coğrafi olarak eşleşen IP adresleri arasında bağlantılar görülmesi, faaliyetin Çin bağlantılı birden fazla tehdit kümesiyle ilişkili olabileceği ihtimalini güçlendiriyor.
Saldırının Genel Çerçevesi
Yapılan son analizlere göre Showboat, Linux sistemlerde çalışan modüler bir post-exploitation çerçevesi. Bu yapı, saldırganların ilk erişimi elde ettikten sonra sistem üzerinde kalıcılık kurmasına, komut çalıştırmasına, dosya alıp göndermesine ve iç ağdaki diğer cihazlara proxy üzerinden sıçramasına yardımcı oluyor. Özellikle SOCKS5 desteği, saldırganların doğrudan internete açık olmayan sistemlerle LAN üzerinden iletişim kurabilmesini sağlıyor.
Bu tür araçlar genellikle kimlik avı, zafiyet istismarı, yanlış yapılandırılmış uzaktan erişim servisleri veya ele geçirilmiş hesaplar üzerinden devreye giriyor. Bu olayda ilk erişim vektörü netleşmiş değil; ancak geçmişte benzer grupların ASPX web shell kullanarak ya da varsayılan uzaktan erişim hesaplarını kötüye kullanarak sisteme sızdığı biliniyor.
Hangi Gruplar ve Araçlar Öne Çıkıyor?
Analizler, Showboat’un Çin bağlantılı en az bir tehdit kümesi tarafından kullanılmış olabileceğini gösteriyor. Öne çıkan aktörlerden biri, güvenlik topluluklarında Calypso, Bronze Medley ve Red Lamassu adlarıyla da izlenen grup. Bu grubun Brezilya, Hindistan, Kazakistan, Rusya, Tayland ve Türkiye’deki devlet kurumlarını hedef aldığı daha önce de raporlanmıştı.
Bu aktörün araç setinde PlugX, WhiteBird ve BYEBY gibi arka kapılar yer alıyor. BYEBY’nin, bazı güvenlik araştırmacıları tarafından Mikroceen adıyla izlenen daha geniş bir kümeyle ilişkili olduğu belirtiliyor. Aynı ekosistemde ShadowPad, NosyDoor ve benzeri paylaşılan çerçevelerin de bulunması, Çin bağlantılı gruplar arasında araç paylaşımı ve ortak altyapı kullanımına işaret ediyor.
Bu tablo, tehdit aktörlerinin her zaman sıfırdan zararlı yazılım geliştirmediğini; bazen hazır, yeniden kullanılan ve farklı kampanyalara uyarlanan implantlara dayandığını gösteriyor. Bu durum, savunma tarafında IOC odaklı tespitin tek başına yeterli olmamasına neden oluyor; davranışsal analiz, EDR telemetrisi ve ağ segmentasyonu daha kritik hale geliyor.
Saldırı Zinciri ve Teknik Detaylar
İncelemeye konu olan örnek, Mayıs 2025’te VirusTotal’a yüklenen bir ELF ikili dosyasıydı. Platform bu dosyayı rootkit benzeri yeteneklere sahip gelişmiş bir Linux arka kapısı olarak sınıflandırdı. Kaspersky ise aynı örneği EvaRAT olarak takip ediyor.
Showboat’un çalışma mantığı özetle şu adımlardan oluşuyor:
- İlk aşamada C2 sunucusuna bağlanarak sistem bilgilerini topluyor.
- Topladığı verileri şifrelenmiş ve Base64 ile kodlanmış biçimde bir PNG alanı içinde geri iletiyor.
- Dosya yükleme ve indirme işlemleri yapabiliyor.
- İşlem listesinde görünürlüğünü azaltmaya çalışıyor.
- SOCKS5 proxy üzerinden iç ağdaki diğer cihazlara erişim sağlıyor.
- Pastebin üzerinde barındırılan bir kod parçasını çekerek kendini gizlemeye çalışıyor.
Bu yaklaşım, MITRE ATT&CK çerçevesi açısından Command and Scripting Interpreter, Proxy, System Information Discovery, Ingress Tool Transfer ve Hide Artifacts gibi tekniklerle eşleşebilecek davranışlar sergiliyor. Özellikle Pastebin üzerinden alınan içerik, saldırganların altyapıyı esnek tutmak ve tespit yüzeyini azaltmak için dış kaynaklı bileşenler kullandığını düşündürüyor.
Black Lotus Labs araştırmacıları, kampanyada kullanılan başlangıç erişim yönteminin şu an için bilinmediğini belirtiyor. Buna karşın geçmiş vakalarda ASPX web shell, zafiyet istismarı sonrası bırakılan kalıcı kabuklar ve uzaktan erişim hesaplarının ele geçirilmesi öne çıkmıştı. Ayrıca grup, Microsoft Exchange Server’daki CVE-2021-26855 açığını da erken dönemde silahlandıran Çin bağlantılı aktörler arasında yer alıyordu. Bu açık, ProxyLogon zincirinin ilk adımlarından biri olarak biliniyor: CVE-2021-26855.
Telekom Sektörü Neden Hedefte?
Telekomünikasyon sağlayıcıları, geniş kullanıcı tabanı, çok sayıda yönetim arayüzü ve iç ağda yüksek ayrıcalıklı sistemler barındırmaları nedeniyle saldırganlar için cazip hedeflerdir. Bir operatöre sızmak, yalnızca tek bir kurumu değil; bağlı servisleri, kurumsal müşterileri ve bazı durumlarda kritik altyapı bileşenlerini de etkileyebilir.
Bu kampanyada Afganistan merkezli bir internet servis sağlayıcısı ve Azerbaycan’da yer alan başka bir kuruluşun da etkilendiği değerlendiriliyor. Ayrıca benzer X.509 sertifikaları kullanan ikincil bir C2 kümesi üzerinden ABD’de iki, Ukrayna’da ise bir olası ihlal işareti tespit edildi. Bu durum, operasyonun tek bir bölgeyle sınırlı olmadığını ve altyapı tekrar kullanımının yaygın olduğunu gösteriyor.
PwC tarafından paylaşılan koordineli değerlendirmede, Afganistan’daki telekom sektörünün hedef alınmasının Red Lamassu’nun daha geniş operasyonel hedefleriyle uyumlu olduğu ifade ediliyor. Bu tür kampanyalar, veri toplama, uzun süreli erişim ve ağ içinde yatay hareket için tasarlanmış olabilir.
SOC ve Sistem Yöneticileri İçin Pratik Kontrol Listesi
Aşağıdaki adımlar, benzer Linux arka kapılarına karşı savunmayı güçlendirmek için önceliklendirilebilir:
- Linux sunucularda beklenmeyen ELF çalıştırmalarını EDR ve davranışsal kurallarla izleyin.
- Pastebin, GitHub Gist ve benzeri dış içerik servislerine giden anormal HTTP/S trafiğini SIEM üzerinde korele edin.
- SOCKS5 proxy kullanımını ve iç ağdan dışarıya tünelleme girişimlerini ağ güvenlik duvarında kısıtlayın.
- Web shell belirtileri için IIS/Apache/Nginx günlüklerini, özellikle ASPX ve benzeri uzaktan komut çalıştırma izlerini tarayın.
- Rootkit benzeri gizlenme davranışları için süreç listesi, modül yükleme ve /proc anormalliklerini kontrol edin.
- Yönetim arayüzlerinde MFA zorunlu hale getirin ve varsayılan hesapları kapatın.
- İç ağda ağ segmentasyonu uygulayarak telekom, yönetim ve kullanıcı ağlarını birbirinden ayırın.
- C2 benzeri DNS, TLS ve sertifika tekrar kullanımını tespit etmek için proxy, firewall ve DNS loglarını birlikte analiz edin.
Kurumsal Ortamlarda Olası Etki
Bir telekom operatörü, bulut barındırma sağlayıcısı veya büyük bir SaaS platformu bu tür bir implantla karşılaştığında risk yalnızca tek bir sunucuyla sınırlı kalmaz. Saldırganlar proxy yeteneğini kullanarak iç ağda keşif yapabilir, yönetim panellerine erişebilir ve daha sonra ayrıcalık yükseltme veya veri sızdırma aşamasına geçebilir. Bu nedenle olay müdahale ekiplerinin yalnızca zararlı dosyayı silmesi yeterli olmaz; kimlik bilgisi rotasyonu, oturum iptali, lateral movement analizi ve kalıcılık kontrolleri de gerekir.
Özellikle Linux tabanlı altyapılarda, konteyner orkestrasyon katmanı, SSH yönetim portları ve otomasyon servisleri saldırganlar için ek sıçrama noktaları oluşturabilir. Bu yüzden IAM politikaları, anahtar yönetimi ve servis hesaplarının yetkileri düzenli olarak gözden geçirilmelidir. E-posta güvenliği tarafında ise ilk erişim vektörü netleşmemiş olsa bile, kimlik avı ve kötü amaçlı ekler hâlâ en yaygın başlangıç noktaları arasında yer alır.
Sonuç
Showboat vakası, Linux ortamlarında kalıcı erişim sağlayan modüler arka kapıların hâlâ aktif biçimde kullanıldığını ve özellikle telekom gibi yüksek değerli sektörlerde uzun süre fark edilmeden kalabildiğini gösteriyor. Savunma ekipleri için en kritik nokta, yalnızca imza tabanlı tespitlere güvenmemek; ağ trafiği, süreç davranışı, sertifika tekrar kullanımı ve iç ağ hareketlerini birlikte değerlendirmek olmalı.
Bu tür kampanyalar, fidye yazılımı öncesi keşif, veri toplama veya uzun vadeli casusluk faaliyetlerinin parçası olabilir. Bu nedenle erken uyarı sinyalleri, kurumsal güvenlik mimarisinde olay müdahale, bulut güvenliği ve ağ segmentasyonu ile birlikte ele alınmalıdır.