中国関連ハッカー、LinuxマルウェアShowboatとWindowsマルウェアJFMBackdoorで通信事業者を標的に | Codebook|Security News
セキュリティニュース
サイバーインテリジェンス
特集
情報セキュリティ
Codebook|Security News > Articles > Threat Report > デイリーサイバーアラート > 中国関連ハッカー、LinuxマルウェアShowboatとWindowsマルウェアJFMBackdoorで通信事業者を標的に

デイリーサイバーアラート

APT

Silobreaker-CyberAlert

サイバースパイ

中国関連ハッカー、LinuxマルウェアShowboatとWindowsマルウェアJFMBackdoorで通信事業者を標的に

佐々山 Tacos

佐々山 Tacos

2026.05.22

中国関連ハッカー、LinuxマルウェアShowboatとWindowsマルウェアJFMBackdoorで通信事業者を標的に

BleepingComputer – May 21, 2026

中国関連のサイバースパイキャンペーンで使われていると見られる新たなLinuxマルウェア「Showboat」およびWindowsマルウェア「JFMBackdoor」について、Black Lotus Labs(Lumen)とPwC Threat Intelligenceがそれぞれ報告。キャンペーンでは、電気通信事業者が標的になっているという。

 

Black Lotus Labsは、VirusTotal上でShowboatを発見したことから調査をスタート。このマルウェアは2025年5月5日にVirusTotalへアップされており、検出率はゼロだったという。一方でPwCは、中国を拠点とする脅威アクター「Red Lamassu(Calypso APT)」を追跡していた際に見つかったWeb上の公開ディレクトリから、Showboat(kworker)およびJFMBackdoorの発見に至っている。Black Lotus LabsおよびPwCは調査プロセスを通じて協力し合い、5月21日に前者がShowboat、後者がJFMBackdoorに焦点を当てたブログ記事をそれぞれ公開した。

Showboat

Black Lotus Labsが「Showboat」と名付けたLinuxインプラントは、初期侵害後の長期アクセス維持に使われるモジュラー型のポストエクスプロイトフレームワーク。リモートシェルの起動、ファイル転送、およびSocks5プロキシとしての機能を持つとされる。Black Lotus Labsによれば、Showboatは遅くとも2022年半ばから始まった攻撃キャンペーンで使われており、中東地域の電気通信事業者が攻撃の影響を受けたほか、東南アジア地域の電気通信企業数社がなりすまし対象として使われたという。

 

Showboatは標的システムに展開されると、ホストに関する情報を集めてそれをC2サーバーへ送信する。また、ファイルのアップロード・ダウンロードや自身のプロセスの秘匿、新たなサービスを介した永続性の確立といった役割も担うとされる。

 

同マルウェアにおいて最も注目に値するのが、SOCKS5プロキシおよびポートフォワーディングの中継点として機能する点。侵害したエンドポイント上における「足場」になることで、攻撃者が内部ネットワーク上のその他のシステムへと移動することを可能にするという。

 

Black Lotus Labsは、Showboatが「中国と関連する複数の脅威アクターが使用する最新のポストエクスプロイトフレームワーク」であろうとの考えを示している。

JMFBackdoor

一方で、PwCが詳細を報告したJMFBackdoorはフル装備のWindows向けスパイインプラントで、以下のような機能を持つという。

  • リバースシェルアクセス:感染したマシン上でのリモートコマンド実行
  • ファイル管理:ファイルのアップロード、ダウンロード、修正、移動、削除
  • TCPプロキシ:被害者のシステムを、内部システムへのネットワークリレーとして使用
  • プロセス/サービス管理:プロセスやサービスの開始、停止、作成、削除
  • レジストリ操作:Windowsのレジストリキーおよび値を変更
  • スクリーンショットの取得 — 被害者のデスクトップのスクリーンショットを撮影し、抽出のために暗号化
  • 暗号化された設定管理 — マルウェアの設定を暗号化された設定ファイルに保存・更新
  • 自己削除およびフォレンジック対策 — 活動の隠蔽、永続化の解除、痕跡の消去

 

PwCによれば、同マルウェアの感染チェーンはバッチスクリプト(1.bat)によりスタート。このスクリプトにより数件のペイロードが展開され、DLLサイドローディングのプロセス(fltMC.exe + FLTLIB.dll)が開始されるという。その後、最終的にJMFBackdoorがロードされる。

 

Red Lamassu

PwCは、同社が「Red Lamassu」として追跡する脅威アクターを調べていたところ、IPアドレス「23.27.201[.]160」上でホストされているオープンディレクトリを観測。ここから、上記の感染チェーンに関するバイナリや、Black Lotus LabsがShowboatと名付けたマルウェアに該当する「kworker」が見つかったとされる。

 

同社によれば、Red Lamassuは中国を拠点とした脅威アクターで、カザフスタン・アフガニスタン・インドを中心にアジア地域の電気通信組織を標的にする活動と関連しているという。Calypso APTとしても知られる同アクターは遅くとも2019年から活動しており、独自のツール類と他アクターと共有されているツール類を多数駆使して被害者環境内での持続的な足場を確保し、長期的なインテリジェンス収集を行うとされる。

 

インフラの分析結果は、Red Lamassuが部分的に分散化された運用モデルを採用しており、そのモデルにおいては複数のクラスターが同様の証明書生成パターンやツールを共有しつつ、それぞれ異なる被害者グループを標的としていることが示唆されるという。

 

PwCは、同アクターに関するIoCをGitHub上で共有している。

関連資料をダウンロード

Codebook 2025 ~サイバーセキュリティ分析レポート~

Codebook 2025 ~サイバーセキュリティ分析レポート~

いつもCodebookをご覧いただきありがとうございます。 Codebookでは2023年より、平日ほぼ毎日、サイバーセキュリティ/インテリジェンス関連の英文ニュースを厳選し、日本語で簡潔に要約...

資料ダウンロード
デジタル時代における世界の紛争

デジタル時代における世界の紛争

地政学的紛争とサイバー作戦の境界は曖昧さを増し、国家や非国家主体によるサイバー攻撃が日常的に行われる中、戦争や外交の在り方が複雑化しています。 特にハクティビズムや偽情報キャンペーンは、ロシア・ウク...

資料ダウンロード
【最新版】要件主導型インテリジェンスプログラムの構築方法|Silobreaker Report

【最新版】要件主導型インテリジェンスプログラムの構築方法|Silobreaker Report

本レポートは、サイバー脅威や地政学的リスクが高度化・複雑化する現代において、組織が適切な意思決定を行うために不可欠な「脅威インテリジェンス」の実践方法を解説するハンドブックです。特に、インテリジェンス...

資料ダウンロード
OSINTから読み解く国家支援サイバー脅威の攻撃トレンド

OSINTから読み解く国家支援サイバー脅威の攻撃トレンド

国家の支援を受けたサイバー脅威が進化を続けています。昨年の国内暗号資産取引所からのビットコイン流出に、北朝鮮アクターの巧妙なソーシャルエンジニアリングが利用されていたことは、記憶に新しいかと思います。...

資料ダウンロード

Special Feature特集記事

セミナー情報一覧へ ANALYST CHOICEの記事一覧へ

Cyber Intelligenceサイバーインテリジェンス

このカテゴリーの記事一覧へ
このカテゴリーの記事一覧へ

Security情報セキュリティ

このカテゴリーの記事一覧へ
このカテゴリーの記事一覧へ