Forscher von **Lumen's Black Lotus Labs** und **PwC Threat Intelligence** haben eine ausgeklügelte Cyber-Spionagekampagne aufgedeckt, die auf Telekommunikationsanbieter abzielt. Die Operation, die seit mindestens Mitte 2022 aktiv ist, wird der **Calypso**-Bedrohungsgruppe, auch bekannt als Red Lamassu, zugeschrieben. Die Angreifer gaben sich Berichten zufolge als ihre Ziele aus, indem sie mehrere Domains mit Telekommunikationsthemen einrichteten und nutzten. ### Die Showboat Linux Malware Das bei diesen Angriffen verwendete Linux-Implantat, Showboat/kworker genannt, ist ein modulares Post-Exploitation-Framework, das für langfristige Persistenz nach einer anfänglichen Kompromittierung entwickelt wurde. Der anfängliche Infektionsvektor ist unbekannt. Laut **Black Lotus Labs** sammelt Showboat nach der Bereitstellung Host-Informationen und sendet diese an einen Command-and-Control (C2)-Server. Die Malware kann auch Dateien hoch- und herunterladen, ihren eigenen Prozess verbergen und Persistenz über einen neuen Dienst herstellen. „Eine bemerkenswerte Funktion ist der Befehl ‚hide‘, der es einem Prozess ermöglicht, sich auf einem Host-Computer zu verbergen, indem er Code von externen Websites wie **Pastebin** oder Online-Foren abruft, der als ‚Dead Drop‘ verwendet wird“, erklären die Forscher von **Lumen's Black Lotus Labs**.  Seine bemerkenswerteste Funktion ist die eines SOCKS5-Proxys und eines Port-Forwarding-Pivotpunkts, der als Fuß in kompromittierten Endpunkten dient und laterale Bewegungen innerhalb des internen Netzwerks ermöglicht.  ### Die JMFBackdoor Windows Malware **PwC Threat Intelligence** analysierte die Infektionskette von Red Lamassu unter Windows und stellte fest, dass sie mit der Ausführung eines Batch-Skripts beginnt, das Payloads ablegt, um eine DLL-Sideloading-Prozedur (fltMC.exe + FLTLIB.dll) vorzubereiten. Die endgültige Payload, **JFMBackdoor**, wird dann geladen.  Laut den Forschern ist **JFMBackdoor** ein voll ausgestattetes Windows-Spionage-Implantat mit folgenden Fähigkeiten: * **Reverse-Shell-Zugriff:** Remote-Befehlsausführung. * **Dateiverwaltung:** Hochladen, Herunterladen, Ändern, Verschieben und Löschen von Dateien. * **TCP-Proxying:** Nutzt das Opfer-System als Netzwerk-Relais in interne Systeme. * **Prozess-/Dienstverwaltung:** Starten, Stoppen, Erstellen oder Beenden von Prozessen und Diensten. * **Registrierungsmanipulation:** Ändern von Windows-Registrierungsschlüsseln und -werten. * **Screenshot-Erfassung:** Erstellen von Screenshots des Desktops des Opfers und Verschlüsselung zur Exfiltration. * **Verschlüsselte Konfigurationsverwaltung:** Speichern/Aktualisieren von Malware-Einstellungen in verschlüsselten Konfigurationen. * **Selbstentfernung und Anti-Forensik:** Verbergen von Aktivitäten, Entfernen von Persistenz und Löschen von Spuren. Die Infrastrukturanalyse deutet darauf hin, dass die Hacker ein teilweise dezentrales Betriebsmodell verfolgen, bei dem mehrere Cluster ähnliche Muster zur Zertifikatgenerierung und Tooling teilen, aber unterschiedliche Opfergruppen ins Visier nehmen. **Lumen** kommt zu dem Schluss, dass das Tooling wahrscheinlich von mehreren China-nahen Bedrohungsgruppen gemeinsam genutzt wird, die jeweils unterschiedliche Regionen ins Visier nehmen und dasselbe Malware-Ökosystem verwenden.