Chinese hackers target telcos with new Linux, Windows malware

1 minute de lecture

Mis à jour : May 21, 2026

Espionnage cybernétique : Campagne Calypso contre les télécoms

Le groupe de cyberespionnage chinois Calypso (alias Red Lamassu) mène une campagne persistante depuis mi-2022 contre des opérateurs de télécommunications en Asie-Pacifique et au Moyen-Orient. Les attaquants utilisent des domaines imitant leurs cibles pour déployer des implants spécifiques sur Linux et Windows.

Points clés :

Modus Operandi : Utilisation de serveurs de commande et contrôle (C2) et détournement de plateformes légitimes (ex: Pastebin) pour dissimuler les communications.
Infrastructures : Les attaquants partagent des outils et des motifs de certificats au sein d’un écosystème diversifié de groupes affiliés à la Chine.
Techniques de pivot : Les deux malwares sont capables de transformer les systèmes compromis en relais réseau (SOCKS5/Proxy TCP) pour une progression latérale.

Malwares identifiés :

Showboat (Linux) : Framework de post-exploitation modulaire assurant la persistance. Il permet l’exécution de code à distance, l’exfiltration de fichiers et l’usage de “dead drops” sur des forums/sites tiers pour masquer ses processus.
JFMBackdoor (Windows) : Implant complet déployé via une procédure de DLL sideloading (utilisant fltMC.exe et FLTLIB.dll). Il offre des fonctionnalités étendues : contrôle distant, manipulation de la base de registre, captures d’écran et nettoyage de traces.

Vulnérabilités :

Aucune CVE spécifique n’a été mentionnée, l’attaque reposant principalement sur des techniques de post-exploitation et le détournement de fonctionnalités système légitimes (sideloading).

Recommandations :

Surveillance réseau : Détecter les communications inhabituelles vers des services de partage de code ou de texte (type Pastebin) initiées par des processus système.
Sécurisation Windows : Surveiller étroitement l’usage de fltMC.exe et vérifier les signatures numériques des DLL chargées pour prévenir le DLL sideloading.
Gestion des accès : Restreindre la capacité des serveurs (Linux comme Windows) à établir des connexions sortantes arbitraires vers l’extérieur (proxy SOCKS5).
Analyse comportementale : Auditer les modifications persistantes dans les services système et les clés de registre, et rechercher les signes de création de processus masqués.

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

Chinese hackers target telcos with new Linux, Windows malware

Espionnage cybernétique : Campagne Calypso contre les télécoms

Partager sur

Vous pourriez aimer

When Identity is the Attack Path

L’identité comme vecteur principal d’attaque : au-delà du périmètre

Ukraine identifies infostealer operator tied to 28,000 stolen accounts

Démantèlement d’un réseau de vol d’identifiants par “infostealer”

ThreatsDay Bulletin: Linux Rootkits, Router 0-Day, AI Intrusions, Scam Kits and 25 New Stories

État des menaces : L’industrialisation des vecteurs d’attaque

Showboat Linux Malware Hits Middle East Telecom with SOCKS5 Proxy Backdoor

Analyse du malware Linux « Showboat » ciblant les télécoms