La campaña de ciberespionaje Calypso infiltró redes de telecomunicaciones con malware multiplataforma

En el análisis de la campaña se detectaron dos familias de malware previamente no documentadas:

• Showboat, diseñado para sistemas Linux
• JFMBackdoor, implantado en sistemas Windows

El uso combinado de estas herramientas permite a los atacantes operar en entornos mixtos, algo común en la infraestructura de telecomunicaciones moderna.

Showboat: la herramienta para servidores Linux

Showboat es un framework de post‑explotación modular orientado a sistemas Linux. Este tipo de herramienta se utiliza después de que el atacante ya ha comprometido una máquina, permitiéndole ampliar el control sobre el sistema.

Según el análisis de investigadores de seguridad, Showboat incluye capacidades como:

• ejecución de shell remota para controlar el sistema comprometido
• transferencia de archivos entre el atacante y el servidor infectado
• funcionamiento como proxy SOCKS5, que permite redirigir tráfico a través del sistema comprometido

Estas funciones convierten a los servidores infectados en puntos de salto dentro de la red, facilitando que los atacantes se muevan lateralmente y oculten su actividad al enrutar comunicaciones a través de máquinas comprometidas.

JFMBackdoor: el implante para Windows

La campaña también utiliza JFMBackdoor, una herramienta diseñada para sistemas Windows que funciona como complemento de Showboat.

En las redes de telecomunicaciones es habitual encontrar:

• servidores Linux que ejecutan servicios de red
• sistemas Windows utilizados para administración y gestión empresarial

Al desplegar malware para ambos entornos, los atacantes pueden mantener acceso incluso si uno de los sistemas es detectado o limpiado. JFMBackdoor contribuye a mantener la persistencia y a ampliar las actividades de espionaje dentro de los sistemas corporativos de las compañías de telecomunicaciones.

Hasta ahora, la información pública sobre el funcionamiento interno de JFMBackdoor es más limitada que la disponible para Showboat, aunque se ha confirmado su uso en esta campaña.

Dominios falsos que imitaban a empresas de telecomunicaciones

Otro componente importante de la operación fue la creación de dominios temáticos relacionados con telecomunicaciones que imitaban a operadores o entidades del sector.

Este tipo de infraestructura puede cumplir varios objetivos en una campaña de espionaje:

• hacer que la actividad parezca legítima dentro del ecosistema del sector
• servir como servidores de comando y control (C2) para comunicarse con sistemas infectados
• facilitar nuevas intrusiones o campañas de robo de credenciales

Aunque no se han publicado todos los detalles sobre qué dominios se usaron contra qué víctimas, los investigadores consideran que esta infraestructura fue diseñada para integrarse discretamente en el entorno del sector telecom.

Por qué el malware multiplataforma complica la defensa

Las redes de telecomunicaciones suelen operar con infraestructura híbrida, combinando Linux para servicios críticos y Windows para administración y operaciones empresariales.

Cuando los atacantes disponen de herramientas para ambos sistemas, obtienen varias ventajas:

• mayor persistencia, incluso si una plataforma se limpia
• capacidad de movimiento lateral entre diferentes tipos de sistemas
• mayor sigilo, al usar sistemas comprometidos como nodos de retransmisión

Esto hace que las intrusiones sean más difíciles de detectar y erradicar, especialmente en redes complejas y altamente interconectadas como las de telecomunicaciones.

Riesgos para la infraestructura global de comunicaciones

La campaña Calypso refleja una tendencia creciente: los actores vinculados a Estados están enfocando cada vez más sus esfuerzos en infraestructura de telecomunicaciones, un objetivo extremadamente valioso para la inteligencia estratégica.

Mantener acceso dentro de estas redes puede ofrecer visibilidad sobre metadatos de comunicaciones, arquitectura de red y sistemas operativos críticos. Para agencias de inteligencia, esa información puede resultar altamente valiosa desde el punto de vista geopolítico.

El descubrimiento de Showboat y JFMBackdoor muestra cómo los atacantes están desarrollando herramientas cada vez más flexibles para operar en múltiples plataformas, aumentando la dificultad para que los defensores detecten y eliminen completamente estas intrusiones.