- Grupo ligado à China usa malware furtivo para espionar redes de telecomunicações, com foco em operadoras do Oriente Médio e da Ásia desde pelo menos 2021.
- Campanha é atribuída ao cluster Red Menshen e busca também redes governamentais conectadas à infraestrutura alvo.
- Principal componente é o BPFDoor, backdoor para Linux que opera com baixo ruído, ativado apenas quando recebe pacote especialmente preparado e sem portas visíveis de comando e controle.
- A cadeia de ataque começa pela exploração de infraestrutura exposta na internet (VPNs, firewalls e plataformas web) de fabricantes como Ivanti, Cisco, Juniper, Fortinet, VMware, Palo Alto Networks e Apache Struts.
- Após o acesso, invasores implantam frameworks como CrossC2, Sliver e TinyShell, além de keyloggers e ferramentas de força bruta; o controlador pode agir dentro do ambiente da vítima, disfarçado como processo legítimo, para manter persistência e movimentação lateral em redes críticas por longos períodos.
Um grupo associado à China está usando malware furtivo para espionagem em redes de telecomunicações, mantendo acesso prolongado a ambientes estratégicos. A campanha é atribuída ao cluster Red Menshen. As operações são reportadas com foco em operadoras no Oriente Médio e na Ásia desde 2021, com objetivo de alcançar redes governamentais conectadas a essas infraestruturas.
O componente central é o BPFDoor, backdoor para Linux que atua com baixo ruído. Diferente de malwares comuns, ele não deixa portas abertas nem canais visíveis de comando e controle. Em vez disso, utiliza a funcionalidade Berkeley Packet Filter para inspecionar tráfego no kernel e é ativado apenas quando recebe um pacote especialmente preparado.
A cadeia de ataque começa pela exploração de infraestrutura exposta à internet, como appliances de VPN, firewalls e plataformas web de fabricantes como Ivanti, Cisco, Juniper Networks, Fortinet, VMware, Palo Alto Networks e Apache Struts. Após o acesso inicial, invasores implantam frameworks como CrossC2, Sliver, TinyShell, além de keyloggers e utilitários de força bruta para coletar credenciais e promover movimentação lateral.
Segundo a apuração, o controlador pode operar dentro do ambiente da vítima, disfarçando-se como processo legítimo e acionando novos implants em hosts internos. Esse recurso amplia a capacidade de movimentação lateral sem chamar atenção e facilita a preservação de persistência em redes críticas por longos períodos.
Entre na conversa da comunidade