Pesquisadores do **Lumen's Black Lotus Labs** e da **PwC Threat Intelligence** descobriram uma sofisticada campanha de ciberespionagem que tem como alvo provedores de telecomunicações. A operação, ativa desde pelo menos meados de 2022, é atribuída ao grupo de ameaças **Calypso**, também conhecido como Red Lamassu. Os atores de ameaças supostamente se passaram por seus alvos, configurando e utilizando múltiplos domínios com temática de telecomunicações. ### O Malware Linux Showboat O implante Linux utilizado nesses ataques, denominado Showboat/kworker, é um framework modular de pós-exploração projetado para persistência de longo prazo após o comprometimento inicial. O vetor de infecção inicial permanece desconhecido. De acordo com o **Black Lotus Labs**, uma vez que o Showboat é implantado, ele coleta informações do host e as envia para um servidor de comando e controle (C2). O malware também pode fazer upload/download de arquivos, ocultar seu próprio processo e estabelecer persistência por meio de um novo serviço. “Uma característica notável é o comando 'hide', que permite que um processo se oculte em uma máquina host recuperando código armazenado em sites externos, como o **Pastebin** ou fóruns online, para uso como um ‘dead drop’”, explicam os pesquisadores do **Lumen's Black Lotus Labs**.  Sua função mais notável é atuar como um proxy SOCKS5 e ponto de pivô de encaminhamento de porta, servindo como um ponto de acesso em endpoints comprometidos e permitindo movimento lateral dentro da rede interna.  ### O Malware Windows JMFBackdoor A **PwC Threat Intelligence** analisou a cadeia de infecção do Red Lamassu no Windows, observando que ela começa com a execução de um script batch que descarrega payloads para preparar um procedimento de DLL-sideloading (fltMC.exe + FLTLIB.dll). O payload final, **JMFBackdoor**, é então carregado.  De acordo com os pesquisadores, o **JFMBackdoor** é um implante de espionagem completo para Windows com as seguintes capacidades: * **Acesso a reverse shell:** Execução remota de comandos. * **Gerenciamento de arquivos:** Upload, download, modificação, movimentação e exclusão de arquivos. * **Proxy TCP:** Utiliza o sistema da vítima como um relay de rede para sistemas internos. * **Gerenciamento de processos/serviços:** Iniciar, parar, criar ou encerrar processos e serviços. * **Manipulação do registro:** Modificar chaves e valores do registro do Windows. * **Captura de tela:** Tirar capturas de tela da área de trabalho da vítima e criptografá-las para exfiltração. * **Gerenciamento de configuração criptografada:** Armazenar/atualizar configurações do malware em configurações criptografadas. * **Auto-remoção e anti-forense:** Ocultar atividade, remover persistência e deletar rastros. A análise da infraestrutura sugere que os hackers seguem um modelo operacional parcialmente descentralizado, no qual múltiplos clusters compartilham padrões de geração de certificados e ferramentas semelhantes, mas visam conjuntos de vítimas distintos. A **Lumen** conclui que as ferramentas são provavelmente compartilhadas entre múltiplos grupos de ameaças alinhados à China, cada um visando diferentes regiões e utilizando o mesmo ecossistema de malware.