Calypso‑Hacker greifen Telekom‑Netze mit plattformübergreifender Malware an

Zwei zuvor nicht dokumentierte Malware‑Familien spielen dabei eine zentrale Rolle:

• Showboat, ein Post‑Exploitation‑Framework für Linux
• JFMBackdoor, ein Backdoor‑Implantat für Windows

Diese Kombination ermöglicht es den Angreifern, sowohl Server‑Infrastruktur als auch administrative Systeme innerhalb derselben Organisation zu kontrollieren.

Showboat: Angriffswerkzeug für Linux‑Server

Die Malware Showboat richtet sich speziell gegen Linux‑Systeme. Laut Analyse handelt es sich um ein modulares Post‑Exploitation‑Framework, das typischerweise nach einer bereits erfolgreichen Kompromittierung eingesetzt wird.

Zu den wichtigsten Funktionen gehören:

• Starten einer Remote‑Shell, um kompromittierte Systeme aus der Ferne zu steuern
• Dateiübertragung zwischen Angreifer‑Infrastruktur und infizierten Servern
• Betrieb als SOCKS5‑Proxy, über den Netzwerkverkehr umgeleitet werden kann

Diese Fähigkeiten erlauben es den Angreifern, kompromittierte Server als Zwischenstationen zu nutzen. Dadurch können sie ihre Aktivitäten verschleiern und sich unauffällig weiter durch das Netzwerk bewegen.

JFMBackdoor: Das Windows‑Pendant

Parallel dazu kommt JFMBackdoor zum Einsatz, ein Schadprogramm für Windows‑Umgebungen.

In vielen Telekomunternehmen existieren gemischte IT‑Infrastrukturen: Linux‑Server betreiben zentrale Netzwerkdienste, während Windows‑Systeme häufig für Verwaltung, Monitoring und Büroanwendungen genutzt werden. Durch ein eigenes Implantat für Windows können die Angreifer ihre Präsenz auch in diesen Bereichen sichern.

Öffentliche Analysen bestätigen die Nutzung der Malware in der Kampagne, doch detaillierte technische Informationen über die interne Funktionsweise von JFMBackdoor sind bislang begrenzt.

Tarnung durch Telekom‑ähnliche Domains

Ein weiterer Baustein der Operation war der Aufbau einer eigenen Infrastruktur mit Domains, die legitime Telekom‑Unternehmen imitieren.

Diese Domains erfüllten vermutlich mehrere Aufgaben:

• Sie ließen die Kommunikation der Malware wie legitimen Telekom‑Traffic erscheinen
• Sie dienten als Command‑and‑Control‑Server, über die kompromittierte Systeme gesteuert werden
• Sie konnten für weitere Angriffe oder das Sammeln von Zugangsdaten eingesetzt werden

Welche spezifischen Domains mit welchen Zielorganisationen verbunden waren, wurde öffentlich bislang nicht vollständig offengelegt.

Warum plattformübergreifende Malware besonders gefährlich ist

Telekommunikationsanbieter betreiben komplexe, heterogene IT‑Landschaften. Server, Netzwerkgeräte und Verwaltungsplattformen laufen häufig auf unterschiedlichen Betriebssystemen.

Die Kombination aus Linux‑ und Windows‑Implantaten verschafft Angreifern mehrere Vorteile:

• Robustere Persistenz: Selbst wenn ein System bereinigt wird, kann der Zugang über das andere bestehen bleiben
• Mehr Bewegungsfreiheit im Netzwerk: Angreifer können zwischen Server‑ und Verwaltungssystemen wechseln
• Bessere Tarnung: kompromittierte Systeme lassen sich als interne Proxys oder Relais verwenden

Dadurch wird es für Sicherheitsteams deutlich schwieriger, einen Angreifer vollständig aus einem Netzwerk zu entfernen.

Strategische Bedeutung von Telekom‑Netzen

Die Calypso‑Kampagne zeigt eine breitere Entwicklung im Bereich staatlich motivierter Cyber‑Spionage. Telekom‑Netze gelten als besonders wertvolle Ziele, weil sie Einblicke in Kommunikationsströme, Infrastruktur und Betriebsdaten ermöglichen.

Langfristiger Zugang zu solchen Systemen kann Angreifern unter anderem helfen, Netzwerktopologien zu verstehen, Metadaten zu analysieren oder sensible Betriebsinformationen auszulesen. Entsprechend investieren Angreifergruppen zunehmend in spezialisierte Malware, die sich dauerhaft und unauffällig in diesen Umgebungen halten kann.

Die Entdeckung von Showboat und JFMBackdoor zeigt, wie sich diese Werkzeuge weiterentwickeln – hin zu plattformübergreifenden Angriffen, die für Verteidiger deutlich schwerer zu erkennen und zu beseitigen sind.