Linux и Windows под ударом одновременно. Группа Red Lamassu построила невидимую инфраструктуру внутри телеком-компаний
NewsMakerРаскрыта китайская кампания кибершпионажа, которая продолжается с 2019 года.
Китайская группировка Red Lamassu годами закреплялась в телекоммуникационных сетях Азии, а теперь специалисты связали её операции с двумя вредоносными инструментами — Linux-вредоносом Showboat и Windows-бэкдором JFMBackdoor. Оба инструмента помогают злоумышленникам не просто попасть в сеть, а оставаться внутри, передавать файлы, запускать команды и пробираться к внутренним системам, которые недоступны из интернета.
Showboat обнаружила команда Black Lotus Labs компании Lumen. По её данным, вредоносная программа для Linux использовалась как минимум с середины 2022 года. Когда в мае 2025 года образец загрузили в VirusTotal, антивирусы не обнаруживали угрозу, и к апрелю 2026 года вредонос вновь стал необнаруживаемым.
Запустившись, Showboat связывается с управляющим сервером, получает настройки, собирает сведения о заражённой системе, делает снимок экрана и отправляет данные операторам. Вредонос умеет скрывать собственный процесс от администраторов, передавать файлы, закрепляться как служба, менять управляющие серверы и работать как прокси SOCKS5. Такая функция особенно опасна для телекоммуникационных компаний , потому что даёт атакующим доступ к внутренним узлам сети.
Black Lotus Labs считает, что Showboat использовали одна или несколько группировок, связанных с интересами Китая. Кампания затронула телекоммуникационного провайдера на Ближнем Востоке, а инфраструктура злоумышленников имитировала телекоммуникационные компании в Юго-Восточной Азии. Среди подтверждённых жертв названы провайдер из Афганистана и организация в Азербайджане.
Второй отчёт, подготовленный PwC Threat Intelligence, связывает ту же активность с группировкой Red Lamassu, также известной как Calypso . По данным PwC, группировка действует как минимум с 2019 года и атакует телекоммуникационные и государственные организации в Азиатско-Тихоокеанском регионе, прежде всего в Казахстане, Афганистане и Индии.
PwC нашла открытый каталог на сервере 23.27.201[.]160, где лежали файлы, чтобы заражать Windows-системы, а также образец Linux-вредоноса kworker, который Lumen называет Showboat. Основной Windows-инструмент получил название JFMBackdoor. Вредонос запускался через подмену DLL и давал операторам широкий набор возможностей: работать в удалённой командной строке, работать с файлами, проксировать сетевые соединения, делать снимки экрана, управлять процессами и службами, изменять реестр Windows и удалять собственные следы.
Связь между двумя отчётами усиливают общие элементы инфраструктуры. В частности, специалисты обеих компаний нашли одинаковые самоподписанные сертификаты с метаданными «My Organization», а также пересечения в доменах и управляющих серверах. Один из узлов, который мог быть вышестоящим сервером или тестовой средой разработчиков, указывал на сеть China Unicom и примерно географически соотносился с районом Чэнду.
Телекоммуникационные компании остаются особенно привлекательной целью для государственных группировок. Через такие сети проходят голосовые данные, интернет-трафик и служебные соединения множества организаций, поэтому если злоумышленники взломают одного провайдера, это позволит им двигаться дальше. В случае Red Lamassu специалисты видят долгую кампанию, где Linux-серверы, маршрутизаторы и Windows-системы используются как опорные точки, чтобы вести разведку и проникать глубже.
Китайская группировка Red Lamassu годами закреплялась в телекоммуникационных сетях Азии, а теперь специалисты связали её операции с двумя вредоносными инструментами — Linux-вредоносом Showboat и Windows-бэкдором JFMBackdoor. Оба инструмента помогают злоумышленникам не просто попасть в сеть, а оставаться внутри, передавать файлы, запускать команды и пробираться к внутренним системам, которые недоступны из интернета.
Showboat обнаружила команда Black Lotus Labs компании Lumen. По её данным, вредоносная программа для Linux использовалась как минимум с середины 2022 года. Когда в мае 2025 года образец загрузили в VirusTotal, антивирусы не обнаруживали угрозу, и к апрелю 2026 года вредонос вновь стал необнаруживаемым.
Запустившись, Showboat связывается с управляющим сервером, получает настройки, собирает сведения о заражённой системе, делает снимок экрана и отправляет данные операторам. Вредонос умеет скрывать собственный процесс от администраторов, передавать файлы, закрепляться как служба, менять управляющие серверы и работать как прокси SOCKS5. Такая функция особенно опасна для телекоммуникационных компаний , потому что даёт атакующим доступ к внутренним узлам сети.
Black Lotus Labs считает, что Showboat использовали одна или несколько группировок, связанных с интересами Китая. Кампания затронула телекоммуникационного провайдера на Ближнем Востоке, а инфраструктура злоумышленников имитировала телекоммуникационные компании в Юго-Восточной Азии. Среди подтверждённых жертв названы провайдер из Афганистана и организация в Азербайджане.
Второй отчёт, подготовленный PwC Threat Intelligence, связывает ту же активность с группировкой Red Lamassu, также известной как Calypso . По данным PwC, группировка действует как минимум с 2019 года и атакует телекоммуникационные и государственные организации в Азиатско-Тихоокеанском регионе, прежде всего в Казахстане, Афганистане и Индии.
PwC нашла открытый каталог на сервере 23.27.201[.]160, где лежали файлы, чтобы заражать Windows-системы, а также образец Linux-вредоноса kworker, который Lumen называет Showboat. Основной Windows-инструмент получил название JFMBackdoor. Вредонос запускался через подмену DLL и давал операторам широкий набор возможностей: работать в удалённой командной строке, работать с файлами, проксировать сетевые соединения, делать снимки экрана, управлять процессами и службами, изменять реестр Windows и удалять собственные следы.
Связь между двумя отчётами усиливают общие элементы инфраструктуры. В частности, специалисты обеих компаний нашли одинаковые самоподписанные сертификаты с метаданными «My Organization», а также пересечения в доменах и управляющих серверах. Один из узлов, который мог быть вышестоящим сервером или тестовой средой разработчиков, указывал на сеть China Unicom и примерно географически соотносился с районом Чэнду.
Телекоммуникационные компании остаются особенно привлекательной целью для государственных группировок. Через такие сети проходят голосовые данные, интернет-трафик и служебные соединения множества организаций, поэтому если злоумышленники взломают одного провайдера, это позволит им двигаться дальше. В случае Red Lamassu специалисты видят долгую кампанию, где Linux-серверы, маршрутизаторы и Windows-системы используются как опорные точки, чтобы вести разведку и проникать глубже.