Die Kampagne zeichnet sich durch den Einsatz von Kernel-Level-Implantaten, passiven Backdoors und Cross-Platform-Befehls-Frameworks aus. Das zentrale Werkzeug im Arsenal der Gruppe ist der Linux-Backdoor BPFDoor — ein Malware-Exemplar, das sich fundamental von konventioneller Schadsoftware unterscheidet. Während traditionelle Malware durch Netzwerk-Listener oder Command-and-Control-Verbindungen erkannt werden kann, operiert BPFDoor vollkommen versteckt.
BPFDoor nutzt die Berkeley Packet Filter (BPF) Funktionalität, um Netzwerkverkehr direkt im Kernel zu inspizieren. Das Backdoor aktiviert sich nur, wenn es ein speziell präpariertes “Magic Packet” empfängt. “Es gibt keinen persistenten Listener und kein offensichtliches Beaconing — das Resultat ist eine verborgene Hintertür, die tief in das Betriebssystem selbst eingebettet ist”, erläutert Rapid7 Labs.
Die Angriffsabläufe beginnen mit dem Targeting von Internet-erreichbarer Infrastruktur: VPN-Appliances, Firewalls und Web-Plattformen von Herstellern wie Ivanti, Cisco, Juniper Networks, Fortinet, VMware, Palo Alto Networks und Apache Struts werden als Einstiegspunkte missbraucht. Nach dem erfolgreichen Eindringen werden Linux-kompatible Beacon-Frameworks wie CrossC2 und Sliver deployiert, ergänzt um Keylogger und Brute-Force-Tools.
BPFDoor selbst besteht aus zwei Komponenten: Ein passiver Backdoor auf dem kompromittierten Linux-System inspiziert eingehenden Traffic nach vordefiniertem “Magic Packet”. Die zweite Komponente ist ein vom Angreifer verwalteter Controller, der speziell formatierte Pakete versendet. Besonders bemerkenswert: Der Controller kann sich als legitime Systemprozesse tarnen und die laterale Bewegung zwischen kompromittierten Systemen ermöglichen.
Eine neu entdeckte BPFDoor-Variante zeigt erhebliche technische Weiterentwicklungen. Die “Magic Packet” wird nun in scheinbar legitimen HTTPS-Traffic versteckt. Ein neuer Parsing-Mechanismus platziert den String “9999” an einer festen Byte-Position, wodurch das Aktivierungspaket unerkannt in HTTPS-Verkehr bleibt. Zusätzlich nutzt die neue Variante das Internet Control Message Protocol (ICMP) zur Kommunikation zwischen infizieren Hosts.
Das SCTP-Protokoll-Support in bestimmten BPFDoor-Artefakten ermöglicht es dem Angreifer sogar, telecom-native Protokolle zu überwachen und Nutzerverhalten zu verfolgen. Dies zeigt, dass BPFDoor weit mehr als ein einfacher Linux-Backdoor ist: Es funktioniert als Zugangsschicht innerhalb der Telecom-Infrastruktur und bietet Langzeit-Sichtbarkeit bei minimalen Erkennungsrisiken.
Rapid7 warnt vor einer breiteren Evolution in der Hacker-Handwerkstechnik: Angreifer betten Implantate tiefer in den Computing-Stack ein — auf Kernel- und Infrastruktur-Ebene statt nur im User-Space. Telecom-Umgebungen mit Bare-Metal-Systemen, Virtualisierungsschichten und containerisierten 4G/5G-Komponenten bieten ideales Terrain für langfristige, geräuschlose Persistenz.