Rapid7 Labs刚放出的报告,把中东和亚洲几家电信运营商的脊梁骨给扒开了。Red Menshen这个中国关联威胁团伙,从2021年起就在电信网络里安“沉睡细胞”。他们不搞大张旗鼓的攻击,而是把内核级后门埋得极深,让传统监控工具基本看不见。
这个团伙还有Earth Bluecrow、DecisiveArchitect、Red Dev 18几个别名。Rapid7直接管他们安的那些东西叫“见过的最隐秘数字沉睡细胞之一”。核心武器就是BPFDoor,一款Linux后门。它不打开任何监听端口,也不发常规信标。靠的是Berkeley Packet Filter机制,直接在内核里检查网络流量。只有收到特定“魔法包”才激活,弹出一个远程shell。
想想看,系统用netstat、ss或者nmap扫一圈,什么异常都没有。机器干净得像刚重装。攻击者先瞄准暴露的边缘设备下手,Ivanti、Cisco、Juniper、Fortinet、VMware、Palo Alto Networks、Apache Struts这些厂商的VPN、防火墙、Web平台,全是他们的切入点。一旦站稳脚跟,就扔CrossC2这类跨平台信标框架,再配上Sliver、TinyShell、键盘记录器和暴力破解工具,慢慢收割凭证,向内网横向移动。
BPFDoor分两部分。一部分是被动后门,装在被攻破的Linux系统上,安装BPF过滤器等着魔法包。另一部分是控制器,由攻击者操控,能伪装成正常系统进程,在受害者环境里运行。它可以发激活包,或者开本地监听器接收shell,实现受控的横向移动。新变种更狠,把触发包藏进看似正常的HTTPS流量里,要求请求里固定字节偏移位置出现“9999”字符串。这样数据位置不变,检测难度直线上升。
更要命的是,某些BPFDoor样本支持SCTP协议。这是电信原生协议,能直接看到用户行为、位置数据,甚至锁定特定目标。Rapid7说,这已经不是单纯的Linux后门,而是嵌入电信骨干的访问层,提供长期、低噪声的可见度。电信环境里裸金属服务器、虚拟化层、高性能设备、容器化的4G/5G核心组件混在一起,正好给这类植入物提供了理想土壤。它们混进合法硬件服务和容器运行时,躲过端点监控,潜伏时间能拉得很长。
报告还提到一个未公开的BPFDoor变种,做了架构调整,更适应现代企业和电信环境。它引入轻量通信机制,用ICMP在两个感染主机间交互。攻击者越来越往计算栈深处钻,瞄准操作系统内核和基础设施平台,而不是只在用户空间折腾。
当前市场情绪低迷,BTC现报$68,642(24h -3.81%),ETH现报$2,059(24h -5.13%)。加密圈子每天盯着价格波动,可现实是,国家层面的网络战早就在基础设施里埋了钉子。电信运营商如果还只靠常规扫描,等于睁眼瞎。Rapid7已经放出开源扫描脚本,专门检测老版和新版BPFDoor,建议相关方赶紧跑一遍。
Red Menshen的路数很清晰:先拿初始访问,再用被动机制长期驻留,最后利用电信协议做情报收集。政府网络往往依赖这些运营商,间接风险不小。过去几年,中东和亚洲多家电信商中招,韩国、香港、缅甸、马来西亚、埃及都有痕迹。攻击链条从边缘设备开始,一路深入到信令平面,过滤流量却不碰应用层数据库,防守方传统监控基本抓瞎。
内核级植入的进化速度,让人脊背发凉。以前的后门还得开端口、发心跳,现在直接借BPF这个合法内核功能当掩护。新变种把HTTPS当载体,ICMP当内部通道,层层伪装。电信骨干里跑着海量用户数据、银行转账、政府通讯,一旦被长期监听,后果不用多说。
安全团队该醒醒了。别再只盯着用户空间恶意软件,内核和基础设施才是下一个战场。Rapid7的报告提醒大家,攻击者已经把战场搬到操作系统最底层。电信运营商、设备厂商、甚至依赖这些网络的政府部门,都得重新审视自己的可见度。扫描脚本免费可用,早跑早安心。毕竟,沉睡细胞一旦醒来,动静可不会小。
这事暴露了全球电信基础设施的脆弱性。Red Menshen不是今天才来,他们从2021年就开始布局,五年多时间足够把根扎深。未来类似战役只会更隐蔽、更持久。防守方必须跟上节奏,不然只能事后补漏。