Een Chinese cyber-spionagecampagne heeft telecomaanbieders in de Azië-Pacific en delen van het Midden-Oosten doelgericht aangevallen met nieuw ontdekte Linux- en Windows-malware, respectievelijk Showboat en JMFBackdoor. De operatie, die sinds medio 2022 actief is, wordt toegeschreven aan de Calypso-groep, ook bekend als Red Lamassu.

Onderzoekers van Lumen's Black Lotus Labs en PwC Threat Intelligence melden dat de aanvallers meerdere telecomgerelateerde domeinen hebben opgezet om zich voor te doen als hun doelwitten. De Linux-malware Showboat, ook wel kworker genoemd, is een modulair post-exploitatiekader dat is ontworpen voor langdurige aanwezigheid na de initiële infectie. De manier waarop de eerste infectie plaatsvindt is nog onbekend. Na installatie verzamelt Showboat informatie over het geïnfecteerde systeem en stuurt deze naar een command-and-control-server. Daarnaast kan de malware bestanden uploaden en downloaden, zijn eigen processen verbergen en persistentie opbouwen via een nieuw aangemaakte service. Een opvallende functie is het 'hide'-commando, waarmee processen zich kunnen verbergen door code op te halen van externe websites zoals Pastebin, die als zogenoemde 'dead drops' fungeren. De malware fungeert ook als een SOCKS5-proxy en port-forwarding pivot, waardoor de aanvallers via het geïnfecteerde systeem verder het interne netwerk kunnen binnendringen.

De Windows-malware JMFBackdoor begint met de uitvoering van een batchscript dat payloads plaatst om een DLL-sideloading-procedure te starten. Uiteindelijk wordt de JMFBackdoor-implant geladen. Deze malware biedt uitgebreide spionagefunctionaliteiten, waaronder reverse shell-toegang voor het uitvoeren van commando's op afstand, bestandsbeheer, TCP-proxying om het slachtoffer als netwerkrelay te gebruiken, proces- en servicemanagement, aanpassingen in het Windows-register, het maken van screenshots die versleuteld worden geëxfiltreerd, versleutelde configuratiebeheer en mogelijkheden voor zelfverwijdering en anti-forensische maatregelen.

De infrastructuuranalyse wijst erop dat de hackers een deels gedecentraliseerd operationeel model hanteren, waarbij meerdere clusters vergelijkbare certificaatgeneratiepatronen en tools gebruiken, maar verschillende doelwitten aanvallen. Lumen concludeert dat de gebruikte tooling waarschijnlijk gedeeld wordt door meerdere aan China gelieerde dreigingsgroepen, die elk andere regio's en doelwitten bedienen binnen hetzelfde malware-ecosysteem.