Anders als gewöhnliche Malware öffnet BPFDoor laut Rapid7 Labs keine lauschenden Ports und unterhält keine sichtbaren Command-and-Control-Kanäle. Stattdessen missbraucht die Backdoor die Funktionen des Berkeley Packet Filter (BPF), um den Netzwerkverkehr direkt im Kernel zu inspizieren. Aktiv wird sie erst, wenn sie ein speziell präpariertes Auslösepaket empfängt. „Es gibt keinen dauerhaft lauschenden Dienst und kein offensichtliches Beaconing", erklärt das Unternehmen. „Das Ergebnis ist eine verborgene Falltür, die im Betriebssystem selbst eingebettet ist."

Die Angriffsketten beginnen damit, dass die Akteure auf das Internet ausgerichtete Infrastruktur und exponierte Edge-Dienste ins Visier nehmen – etwa VPN-Appliances, Firewalls und webseitige Plattformen von Ivanti, Cisco, Juniper Networks, Fortinet, VMware, Palo Alto Networks und Apache Struts –, um sich initialen Zugang zu verschaffen. Nach erfolgreichem Einstieg kommen Linux-taugliche Beacon-Frameworks wie CrossC2 zum Einsatz. Zusätzlich werden Sliver, die Unix-Backdoor TinyShell, Keylogger und Brute-Force-Werkzeuge abgelegt, um Zugangsdaten zu sammeln und sich seitlich im Netz zu bewegen.

Kern der Operationen bleibt jedoch BPFDoor. Das Werkzeug besteht aus zwei Komponenten: einer passiven Backdoor auf dem kompromittierten Linux-System, die per BPF-Filter den eingehenden Verkehr nach einem vordefinierten „magischen" Paket durchsucht und bei Empfang eine Remote-Shell startet, sowie einem Controller, mit dem die Angreifer die speziell formatierten Pakete versenden. Laut Rapid7 ist der Controller so ausgelegt, dass er auch innerhalb der Opferumgebung selbst laufen kann. Dort gibt er sich als legitimer Systemprozess aus und löst weitere Implantate auf internen Hosts aus – über Aktivierungspakete oder durch das Öffnen eines lokalen Listeners für Shell-Verbindungen.

Einige BPFDoor-Artefakte unterstützen das Stream Control Transmission Protocol (SCTP). Das könnte es den Angreifern ermöglichen, telekomspezifische Protokolle mitzulesen, Einblick in Verhalten und Standort von Teilnehmern zu gewinnen und sogar einzelne Zielpersonen zu verfolgen. Damit fungiert BPFDoor nach Einschätzung von Rapid7 als Zugangsschicht im Telekom-Backbone und liefert langfristige, geräuscharme Sichtbarkeit auf kritische Netzwerkvorgänge.

Eine bislang nicht dokumentierte Variante von BPFDoor wurde zudem überarbeitet, um länger unentdeckt zu bleiben. Das Auslösepaket wird darin in scheinbar legitimem HTTPS-Verkehr versteckt; ein neues Parsing-Verfahren sorgt dafür, dass die Zeichenfolge „9999" stets an einem festen Byte-Offset innerhalb der Anfrage erscheint und vom Implantat als Aktivierungsbefehl interpretiert wird. Die neu entdeckte Probe führt außerdem einen leichtgewichtigen Kommunikationsmechanismus ein, der das Internet Control Message Protocol (ICMP) nutzt, um zwischen zwei infizierten Hosts zu kommunizieren.

Rapid7 wertet die Funde als Ausdruck einer breiteren Entwicklung im Vorgehen der Angreifer: Implantate würden zunehmend tiefer im Computing-Stack verankert und zielten auf Betriebssystem-Kernel und Infrastrukturplattformen statt allein auf Schadsoftware im Userspace. Telekom-Umgebungen mit ihrer Mischung aus Bare-Metal-Systemen, Virtualisierungsschichten, Hochleistungs-Appliances und containerisierten 4G/5G-Core-Komponenten böten dafür ideales Terrain für langfristige, unauffällige Persistenz.