Im Zentrum der Kampagne steht laut Rapid7 die Linux-Backdoor BPFdoor, die erstmals 2021 öffentlich beschrieben wurde und deren Quellcode 2022 ins Netz gelangte. Sie nutzt die Berkeley-Packet-Filter-Funktionalität (BPF), um Netzwerkverkehr direkt im Kernel zu inspizieren, und bleibt dabei inaktiv, bis sie ein bestimmtes Paket erkennt. Trifft eine festgelegte “Magic-Byte”-Sequenz in einem präparierten Paket ein, öffnet die Backdoor eine Bind- oder Reverse-Shell.
Für den ersten Zugriff missbrauchten die Angreifer öffentlich erreichbare Anwendungen und gültige Konten. Ins Visier nahmen sie laut Rapid7 Appliances von Ivanti, Cisco, Fortinet, VMware und Palo Alto Networks sowie Apache Struts und weitere web-exponierte Plattformen. Anschließend brachten sie Linux-Beacon-Frameworks wie CrossC2 zum Einsatz – einen von Cobalt Strike abgeleiteten Beacon, der häufig von chinesischen APT-Gruppen zum Staging, zur Befehlsausführung und zur seitlichen Bewegung im Netz genutzt wird.
Zur Persistenz griffen die Eindringlinge oft auf das quelloffene Framework für passive Backdoors TinyShell zurück. Hinzu kamen SSH-Brute-Forcer und maßgeschneiderte Keylogger sowie laut Rapid7 “Brute-Force-Werkzeuge mit vorbefüllten, auf Telekom-Umgebungen zugeschnittenen Anmeldedatenlisten”.
Die beobachteten BPFdoor-Samples waren ausnahmslos ELF-Dateien, wobei auch Solaris-Varianten existieren. Rapid7 stellte einen Scanner bereit, mit dem sich mögliche Infektionen aufspüren lassen. Einige Samples können laut dem Unternehmen Bare-Metal-Infrastruktur nachahmen und sich als legitime Unternehmensplattformen tarnen, um im operativen Grundrauschen unterzugehen; andere gaben sich als zentrale Container-Komponenten aus.
In neueren Varianten ist der Auslöser der Backdoor in scheinbar legitimen HTTPS-Verkehr eingebettet. Die Angreifer füllen die Anfrage gezielt so auf, dass ihr Marker stets “exakt am 26. Byte-Offset der inspizierten Datenstruktur landet”, den das Implantat prüft. Diese aktualisierte Variante kombiniere verschlüsselte HTTPS-Trigger, proxy-fähige Befehlsübermittlung, Tarntechniken auf Anwendungsebene, ICMP-basierte Steuersignale und Paketfilterung auf Kernel-Ebene, um mehrere Schichten moderner Netzwerkabwehr zu umgehen, so Rapid7.
Damit werde BPFdoor zu mehr als einer typischen, unauffälligen Backdoor: Sie fungiere als Zugriffsebene zur Telekom-Backbone-Infrastruktur. Statt einzelne Server anzugreifen, konzentrierten sich die Betreiber auf die tragenden Plattformen moderner Netze – Bare-Metal-Systeme mit Telekom-Workloads, cloud-native Kubernetes-Umgebungen mit containerisierten Netzwerkfunktionen sowie die Signalisierungsprotokolle, die Teilnehmeridentität, Mobilität und Kommunikationsflüsse koordinieren.
Es ist nicht das erste Mal, dass chinesische Hacker tief in kritischer Infrastruktur entdeckt werden. Anfang 2024 bestätigte die CISA, dass sich Volt Typhoon in US-Organisationen “vorpositioniert” hatte – nur Monate nachdem Mandiant vor der Gruppe gewarnt hatte. 2024 wurden zudem die Netzwerke von neun US-Telekommunikationsanbietern von der staatlich gestützten Gruppe Salt Typhoon kompromittiert, die ihre Angriffe auf Telekommunikationsanbieter 2025 fortsetzte.
