**LumenのBlack Lotus Labs**と**PwC Threat Intelligence**の研究者たちは、通信事業者を標的とした高度なサイバースパイ活動を明らかにしました。この活動は少なくとも2022年半ばから活発であり、「Calypso」としても知られるRed Lamassu脅威グループによるものとされています。 攻撃者は、複数の通信事業者風ドメインを設定・利用することで、標的になりすましていたと報告されています。 ### Showboat Linuxマルウェア これらの攻撃で使用されているLinuxインプラント「Showboat/kworker」は、初期侵害後の長期的な永続化を目的としたモジュラー型ポストエクスプロイトフレームワークです。初期感染経路は不明です。 **Black Lotus Labs**によると、Showboatが展開されると、ホスト情報を収集し、コマンド・アンド・コントロール（C2）サーバーに送信します。このマルウェアは、ファイルのアップロード/ダウンロード、自身のプロセスの隠蔽、および新規サービスによる永続化確立も可能です。 「注目すべき機能の一つに『hide』コマンドがあります。これは、外部ウェブサイト（**Pastebin**やオンラインフォーラムなど）に保存されたコードを『デッドドロップ』として利用することで、プロセスがホストマシン上で自身を隠蔽することを可能にします」と、**LumenのBlack Lotus Labs**の研究者は説明しています。  最も注目すべき機能は、SOCKS5プロキシおよびポートフォワーディングのピボットポイントとして機能することです。これにより、侵害されたエンドポイント上で足がかりを確保し、内部ネットワーク内でのラテラルムーブメントを可能にします。  ### JMFBackdoor Windowsマルウェア **PwC Threat Intelligence**は、Red LamassuのWindowsにおける感染チェーンを分析し、DLLサイドローディング手順（fltMC.exe + FLTLIB.dll）をステージングするためにペイロードをドロップするバッチスクリプトの実行から開始されることを指摘しました。最終的なペイロードである**JFMBackdoor**がロードされます。  研究者によると、**JFMBackdoor**は以下の機能を備えたフル機能のWindowsスパイ活動用インプラントです。 * **リバースシェルアクセス:** リモートコマンド実行。 * **ファイル管理:** ファイルのアップロード、ダウンロード、変更、移動、削除。 * **TCPプロキシ:** 被害システムを内部システムへのネットワークリレーとして使用。 * **プロセス/サービス管理:** プロセスやサービスの開始、停止、作成、終了。 * **レジストリ操作:** Windowsレジストリキーおよび値の変更。 * **スクリーンショットキャプチャ:** 被害者のデスクトップのスクリーンショットを撮影し、外部送信のために暗号化。 * **暗号化された設定管理:** マルウェア設定の暗号化された設定での保存/更新。 * **自己削除とフォレンジック対策:** アクティビティの隠蔽、永続化の削除、痕跡の消去。 インフラストラクチャ分析は、攻撃者が部分的に分散型の運用モデルに従っていることを示唆しています。複数のクラスターが類似した証明書生成パターンとツールを共有していますが、異なる標的セットを攻撃しています。 **Lumen**は、このツールセットが複数の中国関連脅威グループ間で共有されており、それぞれが異なる地域を標的とし、同じマルウェアエコシステムを使用している可能性が高いと結論付けています。