Sebuah kampanye mata-mata siber (cyber-espionage) berskala masif yang disokong oleh aktor ancaman asal Tiongkok dilaporkan tengah gencar membidik perusahaan penyedia telekomunikasi (Telko). Operasi spionase ini menggunakan dua jenis malware mutakhir yang belum pernah terdeteksi sebelumnya: Showboat (dirancang khusus untuk menginfeksi sistem Linux) dan JFMBackdoor (untuk melumpuhkan sistem berbasis Windows).
Berdasarkan laporan forensik bersama dari Lumen’s Black Lotus Labs dan PwC Threat Intelligence, operasi intelijen siber ini telah aktif bergerak secara senyap sejak pertengahan tahun 2022. Target utamanya berfokus pada organisasi infrastruktur kritis di sepanjang wilayah Asia Pasifik (APAC) serta beberapa bagian di Timur Tengah.
Aktivitas ofensif ini resmi diatribusikan kepada kelompok peretas kawakan asal Tiongkok yang dikenal dengan nama Calypso (juga dilacak oleh firma keamanan lain di bawah nama sandi Red Lamassu). Guna mengelabui target dan memperlancar aksi interseptasi data, para penyerang terpantau mendaftarkan beberapa domain palsu bermotif telekomunikasi yang menyamar sebagai identitas resmi perusahaan korban.
Malware Linux “Showboat”: Framework Modular Penguras Jaringan
Implan Linux yang digunakan oleh Calypso ini kerap menyamar di dalam daftar proses sistem menggunakan nama Showboat atau kworker. Ini merupakan sebuah post-exploitation framework modular yang dibangun dengan tujuan utama mempertahankan akses jarak jauh jangka panjang (long-term persistence) setelah perimeter hulu berhasil ditembus.
Begitu berhasil tertanam pada server Linux target, Showboat akan langsung mengeksekusi serangkaian modul mata-mata berikut:
- Pengumpulan Informasi Host: Memanen detail spesifik perangkat keras, konfigurasi OS, hingga arsitektur jaringan lokal untuk dikirim ke server Command-and-Control (C2).
- Fungsi Pembungkaman (Hide Command): Malware ini memiliki kemampuan unik untuk menyembunyikan proses berjalannya dari deteksi administrator lokal. Ia memanfaatkan metode Dead Drop, yaitu mengambil fragmen kode instruksi rahasia yang sengaja dititipkan peretas pada situs web publik pihak ketiga seperti Pastebin atau forum-forum daring terbuka.
- Fungsi Pivot Point Jaringan: Ini merupakan kemampuan paling berbahaya dari Showboat. Malware ini bertindak sebagai SOCKS5 proxy dan melakukan pemetaan port (port-forwarding). Fitur ini menjadikan server telko yang kompromi sebagai batu loncatan (foothold) bagi peretas untuk merangsek masuk dan menguras sistem penting lainnya di dalam jaringan internal korporat (lateral movement).
Malware Windows “JFMBackdoor”: Implan Spionase Fitur Lengkap
Di sisi pertahanan Windows, PwC Threat Intelligence berhasil membongkar rantai infeksi (infection chain) yang diluncurkan oleh kelompok Red Lamassu. Serangan dimulai dengan eksekusi file skrip batch biner yang bertugas menjatuhkan komponen kode (payloads) untuk memicu prosedur pembajakan DLL melalui teknik DLL-Sideloading memanfaatkan biner sah Windows (proses perpaduan antara berkas fltMC.exe dan FLTLIB.dll). Prosedur ini pada akhirnya memuat implan spionase utama bernama JFMBackdoor.
Sebagai alat spionase khusus Windows, JFMBackdoor dipersenjatai dengan kemampuan infiltrasi tingkat tinggi yang mencakup:
- Akses Reverse Shell: Mengeksekusi perintah baris (command execution) secara jarak jauh pada mesin yang terinfeksi.
- Tata Kelola Berkas Mandiri: Mengunduh, memodifikasi, memindahkan, hingga menghapus berkas data penting secara sepihak.
- TCP Proxying: Memanfaatkan sistem komputer korban sebagai relai jaringan (network relay) untuk menyusup ke segmen server internal yang terisolasi.
- Manipulasi Registri & Layanan: Membuat, menghentikan, atau mematikan paksa layanan sistem serta mengubah nilai kunci Windows Registry.
- Perekaman Layar (Screenshot Capture): Mengambil gambar desktop aktivitas harian pengguna secara berkala, lalu mengenkripsinya secara otomatis sebelum dieksfiltrasi ke server peretas.
- Fitur Anti-Forensik: Memiliki modul pembersihan diri (self-removal) untuk menghapus seluruh rekam jejak digital, menghapus persistensi, dan membuang sisa bukti biner agar tidak dapat dianalisis oleh tim insiden forensik.
Model Operasional Desentralisasi: Ekosistem Alat Bersama
Hasil analisis mendalam terhadap infrastruktur server milik peretas menunjukkan bahwa kelompok ini beroperasi menggunakan model operasional semi-desentralisasi. Tim peneliti menemukan adanya beberapa klaster serangan terpisah yang menargetkan korban yang berbeda, namun mereka semua berbagi pola pembuatan sertifikat keamanan digital (certificate-generation patterns) yang identik serta menggunakan ekosistem tooling malware yang sama.
Lumen menarik kesimpulan kuat bahwa framework malware Showboat dan JFMBackdoor ini merupakan ekosistem persenjataan siber yang dibagikan bersama (shared tooling ecosystem) di antara berbagai kelompok peretas yang beraliansi dengan kepentingan negara Tiongkok, di mana masing-masing faksi berbagi tugas untuk menyerang wilayah geografis yang berbeda di seluruh dunia.