Red Menshen i BPFDoor: ukryte implanty Linux zagrażają sieciom telekomunikacyjnym

Co znajdziesz w tym artykule?

1 Wprowadzenie do problemu / definicja
2 W skrócie
3 Kontekst / historia
4 Analiza techniczna
5 Konsekwencje / ryzyko
6 Rekomendacje
7 Podsumowanie
8 Źródła

Wprowadzenie do problemu / definicja

Grupa Red Menshen, łączona z operacjami cyberszpiegowskimi sponsorowanymi przez państwo chińskie, prowadzi długotrwałe kampanie wymierzone w operatorów telekomunikacyjnych oraz infrastrukturę krytyczną. Centralnym narzędziem tych działań jest BPFDoor, czyli zaawansowany backdoor dla systemów Linux, zaprojektowany z myślą o skrytym utrzymywaniu dostępu do zaatakowanych środowisk.

BPFDoor wyróżnia się tym, że nie działa jak klasyczne złośliwe oprogramowanie nasłuchujące na porcie lub regularnie komunikujące się z serwerem dowodzenia. Zamiast tego pozostaje pasywny i aktywuje się dopiero po odebraniu specjalnie przygotowanego pakietu sieciowego. Taka architektura znacząco utrudnia wykrywanie przez tradycyjne systemy EDR, monitoring procesów i standardowe narzędzia analizy ruchu.

W skrócie

Najnowsze analizy wskazują, że Red Menshen wykorzystuje BPFDoor do utrzymywania długoterminowego, cichego dostępu do środowisk telekomunikacyjnych. Kampania obejmuje kompromitację usług brzegowych dostępnych z internetu, wdrażanie narzędzi post-exploitation oraz ruch boczny wewnątrz sieci.

BPFDoor aktywuje się wyłącznie po odebraniu odpowiedniego „magic packet”.
Nowe warianty ukrywają pakiety aktywacyjne w ruchu przypominającym HTTPS.
Zaobserwowano także wykorzystanie komunikacji ICMP między zainfekowanymi hostami.
Niektóre artefakty wskazują na wsparcie dla SCTP, istotnego w środowiskach telekomunikacyjnych.
Zagrożenie dotyczy nie tylko samych operatorów, ale również podmiotów korzystających z ich infrastruktury.

Kontekst / historia

Red Menshen jest znany analitykom od kilku lat i występował również pod nazwami Earth Bluecrow, DecisiveArchitect oraz Red Dev 18. Grupa konsekwentnie koncentruje się na sektorze telekomunikacyjnym w Azji i na Bliskim Wschodzie, traktując go jako strategiczny punkt obserwacyjny dla działań wywiadowczych.

Znaczenie BPFDoor rośnie wraz z kolejnymi raportami pokazującymi, że nie jest to pojedynczy implant używany incydentalnie, lecz element szerszej architektury dostępowej. Atak na operatora telekomunikacyjnego daje przeciwnikowi możliwość obserwacji ruchu, topologii sieci oraz zależności między systemami, co czyni taki podmiot atrakcyjnym celem dla operacji szpiegowskich.

Analiza techniczna

BPFDoor nadużywa mechanizmu Berkeley Packet Filter, aby analizować pakiety bezpośrednio na niższym poziomie działania systemu. Dzięki temu implant nie musi utrzymywać typowego kanału command-and-control ani otwartego portu nasłuchującego, co ogranicza liczbę widocznych artefaktów.

W praktyce łańcuch ataku zwykle zaczyna się od kompromitacji usług brzegowych wystawionych do internetu, takich jak urządzenia VPN, zapory sieciowe, platformy webowe czy systemy administracyjne. Po uzyskaniu dostępu napastnicy wdrażają dodatkowe narzędzia wspierające eskalację uprawnień, przechwytywanie poświadczeń, zdalne powłoki oraz dalszą penetrację środowiska.

Istotnym elementem architektury jest kontroler służący do wysyłania odpowiednio sformatowanych pakietów aktywacyjnych. Co szczególnie niebezpieczne, może on działać również wewnątrz środowiska ofiary. To pozwala na aktywowanie implantów na kolejnych hostach i prowadzenie kontrolowanego lateral movement bez konieczności generowania głośnego ruchu typowego dla klasycznych frameworków C2.

Nowe warianty BPFDoor stosują dodatkowe techniki unikania detekcji. Jedną z nich jest ukrywanie pakietów aktywacyjnych w ruchu przypominającym legalny HTTPS. Zaobserwowano również lekki kanał komunikacyjny oparty na ICMP, który może być wykorzystywany pomiędzy zainfekowanymi systemami. W kontekście operatorów telekomunikacyjnych szczególnie istotne jest potencjalne wsparcie dla SCTP, co może zwiększać możliwości obserwacji ruchu i procesów sygnalizacyjnych w infrastrukturze operatora.

Konsekwencje / ryzyko

Ryzyko związane z BPFDoor jest wysokie, ponieważ implant może pozostawać niewidoczny przez długi czas. Brak standardowych wskaźników komunikacji oraz działanie na niższym poziomie systemu wydłużają czas od kompromitacji do wykrycia.

W sektorze telekomunikacyjnym skutki mogą obejmować długotrwałą utratę poufności, przejęcie poświadczeń uprzywilejowanych, obserwację topologii sieci, ruch boczny między segmentami oraz możliwość profilowania ruchu związanego z usługami krytycznymi. Dla instytucji rządowych i operatorów infrastruktury krytycznej oznacza to zagrożenie o charakterze wywiadowczym, a nie wyłącznie technicznym.

Dodatkowym wyzwaniem jest złożoność nowoczesnych środowisk operatorów, które obejmują serwery bare metal, warstwy wirtualizacji, wyspecjalizowane appliance, kontenery oraz komponenty rdzenia 4G i 5G. Taka heterogeniczność utrudnia wdrożenie spójnej telemetrii bezpieczeństwa i sprzyja długotrwałemu ukrywaniu obecności przeciwnika.

Rekomendacje

Organizacje z sektora telekomunikacyjnego oraz podmioty utrzymujące krytyczne systemy Linux powinny traktować BPFDoor jako zagrożenie klasy stealth persistence, wymagające obrony wielowarstwowej.

Przeprowadzić przegląd ekspozycji usług brzegowych, w szczególności urządzeń VPN, firewalli, paneli zarządzania i usług webowych.
Wzmocnić patch management oraz ograniczyć powierzchnię administracyjną systemów dostępnych z internetu.
Rozszerzyć detekcję o telemetrię z jądra systemu, analizę surowych pakietów oraz korelację anomalii w ruchu ICMP, SCTP i pozornie legalnym HTTPS.
Prowadzić threat hunting ukierunkowany na nietypowe procesy systemowe, nieautoryzowany ruch boczny oraz artefakty narzędzi post-exploitation.
Wdrożyć segmentację administracyjną i ścisłe rozdzielenie stref krytycznych, aby ograniczyć możliwość dalszego przemieszczania się przeciwnika.
W przypadku podejrzenia kompromitacji wykonać analizę pamięci, inspekcję hostów Linux pod kątem niestandardowych hooków i filtrów pakietowych oraz przegląd historycznego ruchu sieciowego.

Podsumowanie

Kampania Red Menshen potwierdza, że nowoczesne operacje cyberszpiegowskie coraz częściej koncentrują się na warstwie infrastrukturalnej i mechanizmach głęboko osadzonych w systemie. BPFDoor jest szczególnie groźny, ponieważ łączy niski poziom szumu operacyjnego, aktywację na żądanie, skryte utrzymywanie dostępu oraz użyteczność w środowiskach telekomunikacyjnych.

Dla obrońców oznacza to konieczność wyjścia poza tradycyjne modele wykrywania malware. Skuteczna ochrona wymaga monitoringu obejmującego nie tylko endpointy, lecz również samą tkankę sieci, zachowanie systemów Linux na niższym poziomie oraz zależności pomiędzy segmentami infrastruktury.

Źródła

The Hacker News — https://thehackernews.com/2026/03/china-linked-red-menshen-uses-stealthy.html
IMDA Advisory for ICM Sector: Earth Bluecrow Deploys BPFDoor Malware Across Telcos in Asia — https://www.imda.gov.sg/-/media/imda/files/regulations-and-licensing/regulations/advisories/infocomm-media-cyber-security/earth-bluecrow-deploys-bpfdoor-malware-across-telcos-in-asia.pdf
Council on Foreign Relations — Cyber Operations Tracker: Targeting of Telecommunications Providers Across the United States, Asia, and the Middle East — https://www.cfr.org/cyber-operations/2022/05/07/targeting-of-telecommunications-providers-across-the-united-states-asia-and-the-middle-east/
Wiz Threats — BPFDoor’s Hidden Controller Targets AMEA Sectors — https://threats.wiz.io/all-incidents/bpfdoors-hidden-controller-targets-amea-sectors