Linux y Windows bajo ataque simultáneo: el grupo Red Lamassu montó una infraestructura oculta dentro de proveedores de telecomunicaciones
Descubren campaña china de ciberespionaje activa desde 2019.
La agrupación china Red Lamassu se afianzó durante años en las redes de telecomunicaciones de Asia, y ahora especialistas han relacionado sus operaciones con dos herramientas maliciosas: el malware para Linux Showboat y la puerta trasera para Windows JFMBackdoor. Ambos instrumentos ayudan a los atacantes no solo a entrar en la red, sino a permanecer dentro, transferir archivos, ejecutar comandos y avanzar hacia sistemas internos que no son accesibles desde Internet.
Showboat fue descubierto por el equipo Black Lotus Labs de la empresa Lumen. Según sus datos, el malware para Linux se utilizó al menos desde mediados de 2022. Cuando en mayo de 2025 la muestra se subió a VirusTotal, los antivirus no detectaron la amenaza, y en abril de 2026 el malware volvió a ser indetectable.
Al ejecutarse, Showboat se conecta con su servidor de mando, obtiene configuraciones, recopila información del sistema infectado, realiza capturas de pantalla y envía los datos a los operadores. El malware puede ocultar su propio proceso ante los administradores, transferir archivos, instalarse como servicio, cambiar servidores de mando y funcionar como proxy SOCKS5. Esta capacidad es especialmente peligrosa para las empresas de telecomunicaciones, porque proporciona a los atacantes acceso a los nodos internos de la red.
Black Lotus Labs considera que Showboat fue utilizado por una o varias agrupaciones vinculadas a intereses de China. La campaña afectó a un proveedor de telecomunicaciones en Oriente Medio, y la infraestructura de los atacantes imitaba a empresas de telecomunicaciones en el sudeste asiático. Entre las víctimas confirmadas se citan un proveedor de Afganistán y una organización en Azerbaiyán.
El segundo informe, preparado por PwC Threat Intelligence, vincula la misma actividad con la agrupación Red Lamassu, también conocida como Calypso. Según PwC, la agrupación opera al menos desde 2019 y ataca a organizaciones de telecomunicaciones y gubernamentales en la región de Asia y el Pacífico, sobre todo en Kazajistán, Afganistán e India.
PwC encontró un directorio abierto en el servidor 23.27.201[.]160, donde había archivos para infectar sistemas Windows, así como una muestra del malware para Linux kworker, que Lumen denomina Showboat. La principal herramienta para Windows recibió el nombre JFMBackdoor. El malware se ejecutaba mediante la suplantación de DLL y proporcionaba a los operadores un amplio conjunto de capacidades: operar en una línea de comandos remota, trabajar con archivos, actuar como proxy para conexiones de red, tomar capturas de pantalla, gestionar procesos y servicios, modificar el registro de Windows y eliminar sus propias huellas.
La relación entre los dos informes la refuerzan elementos comunes de infraestructura. En particular, los especialistas de ambas empresas encontraron los mismos certificados autofirmados con los metadatos «My Organization», así como coincidencias en dominios y servidores de mando. Uno de los nodos, que podría haber sido un servidor superior o el entorno de pruebas de los desarrolladores, apuntaba a la red de China Unicom y se correlacionaba aproximadamente a nivel geográfico con la zona de Chengdu.
Las empresas de telecomunicaciones siguen siendo un objetivo especialmente atractivo para las agrupaciones estatales. A través de esas redes circulan datos de voz, tráfico de Internet y conexiones de servicio de numerosas organizaciones, por lo que si los atacantes comprometen a un proveedor, eso les permitirá moverse más allá. En el caso de Red Lamassu, los especialistas observan una campaña prolongada en la que servidores Linux, enrutadores y sistemas Windows se usan como puntos de apoyo para realizar reconocimiento e infiltrarse más profundamente.