Une campagne d’espionnage numérique menée par la Chine vise des fournisseurs de télécommunications à l’aide de nouveaux logiciels malveillants, appelés Showboat pour Linux et JFMBackdoor pour Windows.
Cette opération est active au moins depuis le milieu de l’année 2022 et a ciblé des entités dans la région Asie-Pacifique et dans certaines parties du Moyen-Orient. Les chercheurs attribuent ces activités au groupe Calypso, également connu sous le nom de Red Lamassu.
Selon les analyses de Lumen Black Lotus Labs et de PwC Threat Intelligence, les pirates ont créé et utilisé de multiples domaines à thème télécoms pour se faire passer pour leurs cibles.
Le logiciel malveillant Showboat pour Linux
L’outil Linux utilisé par Calypso dans ces attaques, nommé Showboat ou kworker, est un cadre modulaire qui est installé après la compromission d’un système pour y maintenir une présence durable. La méthode d’infection initiale reste inconnue.
D’après un rapport de Black Lotus Labs publié aujourd’hui, une fois que Showboat est déployé sur un système cible, il commence par collecter des informations sur l’hôte et les envoie à un serveur de commande et de contrôle.
Ce programme peut aussi télécharger ou envoyer des fichiers, dissimuler son propre processus et assurer sa persistance via la création d’un nouveau service.
Les chercheurs de Lumen indiquent qu’une fonctionnalité remarquable est la commande « hide », car elle permet à un processus de se cacher sur une machine en récupérant du code stocké sur des sites externes comme Pastebin ou des forums en ligne, qui servent alors de point de relais passif.
Source : Lumen
Sa principale fonction est de servir de point d’entrée sur les terminaux compromis en agissant comme un proxy SOCKS5 et un outil de redirection de ports. Cela offre aux attaquants une base pour se déplacer vers d’autres systèmes au sein du réseau interne.
Source : Lumen
Le logiciel malveillant JMFBackdoor pour Windows
Les analystes de PwC Threat Intelligence ont examiné la chaîne d’infection de Red Lamassu sur Windows. Ils constatent qu’elle débute par l’exécution d’un script batch qui dépose des charges utiles pour amorcer une procédure de détournement de chargement de DLL (fltMC.exe + FLTLIB.dll). La charge finale, nommée JFMBackdoor, est ainsi chargée.
Source : PwC
Selon les chercheurs, JFMBackdoor est un implant d’espionnage complet pour Windows qui possède les capacités suivantes :
- Accès par shell inversé — Exécution de commandes à distance sur la machine infectée.
- Gestion de fichiers — Téléversement, téléchargement, modification, déplacement et suppression de fichiers.
- Proxy TCP — Utilisation du système victime comme relais réseau vers les systèmes internes.
- Gestion des processus et services — Démarrage, arrêt, création ou suppression de processus et services.
- Manipulation du registre — Modification des clés et des valeurs du registre Windows.
- Capture d’écran — Prise de captures d’écran du bureau de la victime, qui sont ensuite chiffrées pour l’exfiltration.
- Gestion de configuration chiffrée — Stockage et mise à jour des paramètres du logiciel malveillant dans des configurations chiffrées.
- Auto-suppression et anti-forensique — Dissimulation de l’activité, suppression de la persistance et effacement des traces.
L’analyse de l’infrastructure suggère que les pirates emploient un modèle opérationnel partiellement décentralisé. Plusieurs clusters partagent des schémas similaires de génération de certificats et des outils communs, mais ils ciblent des ensembles de victimes distincts.
Lumen conclut que ces outils sont probablement partagés entre plusieurs groupes de menaces alignés sur la Chine. Chaque groupe cible des régions différentes tout en utilisant le même écosystème de programmes malveillants.