Investigadores de **Lumen's Black Lotus Labs** y **PwC Threat Intelligence** han descubierto una sofisticada campaña de ciberespionaje dirigida a proveedores de telecomunicaciones. La operación, activa desde al menos mediados de 2022, se atribuye al grupo de amenazas **Calypso**, también conocido como Red Lamassu. Los actores de amenazas supuestamente se hicieron pasar por sus objetivos al configurar y utilizar múltiples dominios con temática de telecomunicaciones. ### El Malware Linux Showboat El implante para Linux utilizado en estos ataques, denominado Showboat/kworker, es un framework modular de post-explotación diseñado para persistencia a largo plazo después de un compromiso inicial. El vector de infección inicial sigue siendo desconocido. Según **Black Lotus Labs**, una vez desplegado Showboat, recopila información del host y la envía a un servidor de comando y control (C2). El malware también puede subir/descargar archivos, ocultar su propio proceso y establecer persistencia a través de un nuevo servicio. “Una característica notable es el comando 'hide', que permite a un proceso ocultarse en una máquina host recuperando código almacenado en sitios web externos como **Pastebin** o foros en línea para usarlo como un ‘buzón muerto’”, explican los investigadores de **Lumen's Black Lotus Labs**.  Su función más destacada es actuar como un proxy SOCKS5 y un punto de pivote de reenvío de puertos, sirviendo como punto de apoyo en los endpoints comprometidos y permitiendo el movimiento lateral dentro de la red interna.  ### El Malware Windows JMFBackdoor **PwC Threat Intelligence** analizó la cadena de infección de Red Lamassu en Windows, señalando que comienza con la ejecución de un script batch que deja payloads para preparar un procedimiento de DLL-sideloading (fltMC.exe + FLTLIB.dll). Luego se carga el payload final, **JFMBackdoor**.  Según los investigadores, **JFMBackdoor** es un implante de espionaje para Windows con todas las funciones y las siguientes capacidades: * **Acceso a shell inversa:** Ejecución remota de comandos. * **Gestión de archivos:** Subir, descargar, modificar, mover y eliminar archivos. * **Proxy TCP:** Utiliza el sistema de la víctima como un relé de red hacia sistemas internos. * **Gestión de procesos/servicios:** Iniciar, detener, crear o eliminar procesos y servicios. * **Manipulación del registro:** Modificar claves y valores del registro de Windows. * **Captura de pantalla:** Tomar capturas de pantalla del escritorio de la víctima y encriptarlas para su exfiltración. * **Gestión de configuración encriptada:** Almacenar/actualizar la configuración del malware en configuraciones encriptadas. * **Autoremovición y antiforense:** Ocultar actividad, eliminar persistencia y borrar rastros. El análisis de la infraestructura sugiere que los hackers siguen un modelo operativo parcialmente descentralizado, en el que múltiples clústeres comparten patrones de generación de certificados y herramientas similares, pero atacan a conjuntos de víctimas distintos. **Lumen** concluye que las herramientas son probablemente compartidas entre múltiples grupos de amenazas alineados con China, cada uno atacando diferentes regiones y utilizando el mismo ecosistema de malware.