Des chercheurs de **Lumen's Black Lotus Labs** et **PwC Threat Intelligence** ont découvert une campagne sophistiquée de cyberespionnage ciblant les fournisseurs de télécommunications. L'opération, active depuis au moins mi-2022, est attribuée au groupe de menace **Calypso**, également connu sous le nom de Red Lamassu. Les acteurs de la menace auraient usurpé l'identité de leurs cibles en créant et en utilisant plusieurs domaines à thème télécom. ### Le malware Linux Showboat L'implant Linux utilisé dans ces attaques, baptisé Showboat/kworker, est un framework modulaire post-exploitation conçu pour une persistance à long terme après une compromission initiale. Le vecteur d'infection initial reste inconnu. Selon **Black Lotus Labs**, une fois Showboat déployé, il collecte des informations sur l'hôte et les envoie à un serveur de commande et de contrôle (C2). Le malware peut également télécharger/télécharger des fichiers, masquer son propre processus et établir une persistance via un nouveau service. « Une fonctionnalité notable est la commande 'hide', qui permet à un processus de se dissimuler sur une machine hôte en récupérant du code stocké sur des sites externes tels que **Pastebin** ou des forums en ligne pour l'utiliser comme un « dead drop » », expliquent les chercheurs de **Lumen's Black Lotus Labs**.  Sa fonction la plus notable est d'agir comme un proxy SOCKS5 et un point de pivot pour le port-forwarding, servant de tête de pont sur les points d'extrémité compromis et permettant des mouvements latéraux au sein du réseau interne.  ### Le malware Windows JFMBackdoor **PwC Threat Intelligence** a analysé la chaîne d'infection de Red Lamassu sur Windows, notant qu'elle commence par l'exécution d'un script batch qui dépose des payloads pour préparer une procédure de DLL-sideloading (fltMC.exe + FLTLIB.dll). Le payload final, **JFMBackdoor**, est ensuite chargé.  Selon les chercheurs, **JFMBackdoor** est un implant d'espionnage Windows complet avec les capacités suivantes : * **Accès shell inversé :** Exécution de commandes à distance. * **Gestion de fichiers :** Téléchargement, téléversement, modification, déplacement et suppression de fichiers. * **Proxy TCP :** Utilise le système de la victime comme relais réseau vers les systèmes internes. * **Gestion des processus/services :** Démarrer, arrêter, créer ou tuer des processus et des services. * **Manipulation du registre :** Modifier les clés et les valeurs du registre Windows. * **Capture d'écran :** Prendre des captures d'écran du bureau de la victime et les chiffrer pour exfiltration. * **Gestion de configuration chiffrée :** Stocker/mettre à jour les paramètres du malware dans des configurations chiffrées. * **Auto-suppression et anti-forensique :** Masquer l'activité, supprimer la persistance et effacer les traces. L'analyse de l'infrastructure suggère que les pirates suivent un modèle opérationnel partiellement décentralisé, dans lequel plusieurs clusters partagent des modèles de génération de certificats et des outils similaires, mais ciblent des ensembles de victimes distincts. **Lumen** conclut que les outils sont probablement partagés entre plusieurs groupes de menaces alignés sur la Chine, chacun ciblant différentes régions et utilisant le même écosystème de malwares.