Calypso déploie Showboat et JFMBackdoor contre les télécoms

Calypso renouvelle son arsenal contre les infrastructures télécom mondiales

Le 21 mai 2026, les chercheurs en sécurité ont documenté deux nouvelles familles de malwares utilisées par Calypso, un groupe de cyberespionnage affilié à la Chine, pour cibler des opérateurs de télécommunications en Asie-Pacifique et au Moyen-Orient. Baptisés Showboat pour les systèmes Linux et JFMBackdoor pour Windows, ces outils témoignent d'une sophistication technique accrue et d'une stratégie délibérée de ciblage des couches d'infrastructure les plus profondes des réseaux télécom. L'analyse technique a été publiée par BleepingComputer et The Hacker News, s'appuyant sur des recherches menées par plusieurs équipes de threat intelligence.

Calypso, également suivi sous l'alias Red Lamassu par certains fournisseurs de threat intelligence, est un acteur APT dont les activités ont été documentées depuis au moins 2019. Le groupe est caractérisé par son intérêt particulier pour les fournisseurs d'accès à Internet, les opérateurs télécom et les équipementiers réseau — des cibles permettant un accès aux communications de masse à des fins de renseignement stratégique. L'attribution à des clusters d'activité affiliés à la Chine repose notamment sur la géolocalisation des nœuds C2 à Chengdu, capitale de la province du Sichuan, une ville déjà associée à d'autres opérations chinoises documentées par les agences de renseignement occidentales.

Showboat est un framework de post-exploitation modulaire conçu spécifiquement pour les systèmes Linux. Une fois déployé sur un serveur cible, il offre à l'opérateur un panel de capacités étendu : ouverture d'un shell distant interactif, transfert de fichiers bidirectionnel, collecte automatisée d'informations système (hardware, processus actifs, interfaces réseau), et communication chiffrée avec le serveur C2. Sa capacité la plus notable est son fonctionnement natif comme proxy SOCKS5 : elle permet aux attaquants d'utiliser le système Linux compromis comme point de rebond dans le réseau interne de l'opérateur télécom, facilitant les mouvements latéraux vers des systèmes encore plus sensibles — systèmes de facturation, équipements SS7, plateformes de médiation.

L'implant intègre également des mécanismes de dissimulation de processus (process hiding) permettant de masquer son exécution dans les listes de processus standards, ainsi que des capacités de persistance via la création de services système. Cette combinaison rend sa détection difficile par les outils de surveillance traditionnels basés sur des listes de processus ou des signatures de fichiers. La modularité de Showboat suggère une architecture pensée pour évoluer, avec des capacités additionnelles pouvant être chargées dynamiquement selon les besoins opérationnels.

JFMBackdoor est l'homologue Windows de Showboat. Livré par DLL side-loading, il exploite le mécanisme de chargement de bibliothèques Windows pour injecter du code malveillant dans des processus légitimes. Cette technique contourne les mécanismes de liste blanche d'applications, car c'est un exécutable légitime et signé qui charge la DLL malveillante. Une fois actif, JFMBackdoor supporte un ensemble complet de fonctionnalités offensives : accès shell distant, opérations de fichiers, proxying réseau, capture d'écran pour exfiltration visuelle de données sensibles, et auto-suppression permettant d'effacer les traces en cas de détection imminente.

La conjonction de ces deux outils — l'un Linux, l'autre Windows — révèle une stratégie délibérément adaptée aux environnements hybrides des infrastructures télécom modernes. Les réseaux cœur reposent massivement sur Linux pour les fonctions critiques (routage, commutation, systèmes de facturation), tandis que les environnements bureautiques et outils de supervision fonctionnent sous Windows. Calypso dispose ainsi de capacités couvrant l'ensemble de cette surface d'attaque hétérogène.

Selon les analyses disponibles, la campagne est active depuis au moins la mi-2022, soit près de quatre années d'activité continue. Cette durée signifie que certaines organisations ciblées pourraient avoir été compromises pendant plusieurs années sans le détecter. Les indicateurs de compromission (IoC) publiés incluent des hashs de fichiers pour les deux malwares, des plages d'adresses IP C2 géolocalisées à Chengdu, et des chemins caractéristiques des implants — permettant aux équipes SOC de conduire une recherche rétrospective dans leurs journaux SIEM.

L'intrusion initiale dans les réseaux ciblés exploite des vulnérabilités dans des équipements réseau périmétriques exposés sur Internet : pare-feux, concentrateurs VPN, équipements de gestion réseau. Cette méthode est cohérente avec les tactiques documentées des APT chinois, qui privilégient les équipements périmétriques plutôt que le vecteur email, ce dernier générant significativement plus d'alertes dans les environnements SOC matures. Une fois à l'intérieur du périmètre, les attaquants déploient Showboat sur les serveurs Linux accessibles avant d'utiliser la capacité SOCKS5 pour pivoter vers les environnements Windows où JFMBackdoor est ensuite installé.

L'espionnage télécom chinois : une menace systémique documentée

La publication de ces nouvelles familles de malwares s'intègre dans une stratégie cohérente et de long terme. Les infrastructures télécom représentent pour les services de renseignement un actif d'une valeur exceptionnelle : elles transportent les communications des particuliers, des entreprises, des gouvernements et des militaires. Un accès persistant à un opérateur télécom équivaut, du point de vue du renseignement, à un poste d'écoute sur une fraction significative des communications d'un pays entier.

Le pattern observé — un APT qui maintient une présence discrète pendant plusieurs années, collectant silencieusement des métadonnées de communications et des données de configuration réseau — est précisément ce qui rend ces opérations particulièrement dangereuses. Les campagnes Salt Typhoon, révélées fin 2024, avaient démontré que certains opérateurs américains avaient été compromis pendant dix-huit mois ou plus avant détection. La campagne Calypso/Showboat s'inscrit dans cette continuité, avec un ciblage élargi vers l'Asie-Pacifique et le Moyen-Orient.

Pour les opérateurs télécom européens, cette menace prend une dimension réglementaire spécifique. La directive NIS2, qui s'applique explicitement aux opérateurs de communications électroniques comme entités essentielles, impose des obligations renforcées de gestion des risques cyber et de notification d'incidents dans les 24 heures. La durée potentielle pluriannuelle de la campagne Calypso rend cette obligation particulièrement complexe à gérer, notamment pour déterminer la date de première compromission à déclarer aux autorités compétentes.

La réponse internationale à ces menaces systémiques tend vers une coordination accrue. À la suite des campagnes Salt Typhoon et Volt Typhoon, les agences CISA, NCSC britannique, ASD australienne et CSE canadienne avaient émis des recommandations conjointes de durcissement pour les équipements périmétriques. La publication rapide des IoC de Showboat et JFMBackdoor s'inscrit dans cette logique de partage accéléré de la menace au niveau international, permettant à l'ensemble de la communauté télécom de mettre à jour ses défenses simultanément.

Ce qu'il faut retenir

• Calypso (APT chinois, Red Lamassu) déploie Showboat (Linux, proxy SOCKS5) et JFMBackdoor (Windows, DLL side-loading) contre les télécoms d'Asie-Pacifique et du Moyen-Orient depuis mi-2022.
• L'intrusion initiale exploite des équipements périmétriques exposés (VPN, pare-feux) — une revue des journaux d'accès sur les 24 derniers mois est fortement recommandée.
• Les opérateurs couverts par NIS2 doivent intégrer immédiatement les IoC publiés dans leurs SIEM et auditer l'intégrité des DLL chargées par les processus système Windows.