Em Alta Copa do Mundo NotíciasAcontecimentos internacionaisPessoasPolíticaConflitos

Converse com o Telinha

Telinha
Oi! Posso responder perguntas apenas com base nesta matéria. O que você quer saber?

Grupo ligado à China usa malware para espionagem em redes de telecomunicações

Grupo ligado à China usa backdoor BPFDoor para espionagem em redes de telecomunicações, mantendo acesso persistente em operadoras do Oriente Médio e Ásia

Photo
0:00
Carregando...
0:00
  • Grupo ligado à China usa malware furtivo para espionar redes de telecomunicações, com foco em operadoras do Oriente Médio e da Ásia desde pelo menos 2021.
  • Campanha é atribuída ao cluster Red Menshen e busca também redes governamentais conectadas à infraestrutura alvo.
  • Principal componente é o BPFDoor, backdoor para Linux que opera com baixo ruído, ativado apenas quando recebe pacote especialmente preparado e sem portas visíveis de comando e controle.
  • A cadeia de ataque começa pela exploração de infraestrutura exposta na internet (VPNs, firewalls e plataformas web) de fabricantes como Ivanti, Cisco, Juniper, Fortinet, VMware, Palo Alto Networks e Apache Struts.
  • Após o acesso, invasores implantam frameworks como CrossC2, Sliver e TinyShell, além de keyloggers e ferramentas de força bruta; o controlador pode agir dentro do ambiente da vítima, disfarçado como processo legítimo, para manter persistência e movimentação lateral em redes críticas por longos períodos.

Um grupo associado à China está usando malware furtivo para espionagem em redes de telecomunicações, mantendo acesso prolongado a ambientes estratégicos. A campanha é atribuída ao cluster Red Menshen. As operações são reportadas com foco em operadoras no Oriente Médio e na Ásia desde 2021, com objetivo de alcançar redes governamentais conectadas a essas infraestruturas.

O componente central é o BPFDoor, backdoor para Linux que atua com baixo ruído. Diferente de malwares comuns, ele não deixa portas abertas nem canais visíveis de comando e controle. Em vez disso, utiliza a funcionalidade Berkeley Packet Filter para inspecionar tráfego no kernel e é ativado apenas quando recebe um pacote especialmente preparado.

A cadeia de ataque começa pela exploração de infraestrutura exposta à internet, como appliances de VPN, firewalls e plataformas web de fabricantes como Ivanti, Cisco, Juniper Networks, Fortinet, VMware, Palo Alto Networks e Apache Struts. Após o acesso inicial, invasores implantam frameworks como CrossC2, Sliver, TinyShell, além de keyloggers e utilitários de força bruta para coletar credenciais e promover movimentação lateral.

Segundo a apuração, o controlador pode operar dentro do ambiente da vítima, disfarçando-se como processo legítimo e acionando novos implants em hosts internos. Esse recurso amplia a capacidade de movimentação lateral sem chamar atenção e facilita a preservação de persistência em redes críticas por longos períodos.

Comentários 0

Entre na conversa da comunidade

Os comentários não representam a opinião do Portal Tela; a responsabilidade é do autor da mensagem. Conecte-se para comentar

Veja Mais