資安研究機構 Rapid7 近期揭露,與中國國家利益掛鉤的進階持續性威脅(APT)組織
Red Menshen(又名 Earth Bluecrow),
正在全球電信網路中部署升級版後門程式 BPFDoor。其目標涵蓋中東、非洲、亞太地區及歐洲的電信業者、政府機關與關鍵基礎設施。
Palo Alto Networks Unit 42 同期也披露另一起行動:三個與中國相關的威脅群集(threat clusters)於 2025 年聯手入侵東南亞某國政府機構,顯示中國網路間諜行動的規模與複雜度持續升級。
BPFDoor:藏在作業系統核心的數位潛伏細胞
BPFDoor 被視為迄今最難偵測的後門程式之一,關鍵在於顛覆傳統惡意程式的運作邏輯。它利用 Linux 核心內建的 Berkeley 封包過濾器(Berkeley Packet Filter)機制,在核心層直接監看所有進出流量,靜靜等待特定格式的「魔術封包(magic packet)」。只有在收到封包後,它才會瞬間啟動並開啟遠端 Shell 連線;在此之前,幾乎不會產生任何可被察覺的網路活動。
新變種:把防火牆變成自己的武器
最新變種在隱蔽性上更進一步。舊版本會在任意網路封包中尋找觸發字串,新版本則將觸發封包偽裝成正常的 HTTPS 請求,藏匿於加密的傳輸層安全協定(TLS)流量之中。由於安全設備難以合理封鎖 HTTPS 流量,即使解密後,這筆請求看起來也與正常流量無異。
在解析層面,新變種會檢查進入請求的第 26 個位元組偏移(byte offset)位置是否出現字串「9999」,只有在正確位置出現才視為啟動指令,藉此確保魔術封包不會在流量中留下異常特徵。
ICMP 控制通道:用 Ping 精準指揮跨主機行動
新版 BPFDoor 也引入利用網際網路控制訊息協定(ICMP)進行主機間通訊的輕量控制機制。攻擊者透過看似無害的 Ping 封包在受感染主機之間傳遞指令,並以特定數值「0xFFFFFFFF」標記由哪台主機執行命令,藉此在不建立獨立 C2 連線的前提下,精準指揮網路中任意一個植入程式。專家比喻,假設客廳和廚房各有一個 BPFDoor,攻擊者可以單獨對客廳下令,並把命令精確轉送到廚房那一個。沒有人會去追蹤 Ping 流量,這正是他們藏身之處。
部分變種更已支援串流控制傳輸協定(SCTP),電信網路中廣泛用於信令傳輸的通訊協定,使攻擊者得以監看用戶行為與位置資訊,甚至可追蹤特定目標人物。
深度掌握電信基礎設施
中國駭客 Red Menshen 對目標環境的掌握程度令研究人員驚嘆。攻擊者不僅清楚歐亞電信業者普遍採用 HPE ProLiant 伺服器,也掌握業界正大量引入 Kubernetes 來建置 5G 核心網路。因此,BPFDoor 會因應目標環境,分別偽裝成相應的合法服務名稱與程序行為。
初始入侵階段,Red Menshen 主要鎖定 Ivanti、Cisco、Fortinet、Palo Alto Networks 等廠牌的 VPN 設備與防火牆,取得立足點後再部署 CrossC2、Sliver 等後滲透框架,並逐步在內網橫向移動。
三個群集聯手:東南亞政府遭多方圍攻
同期,Unit 42 揭露三個中國相關威脅群集分別對東南亞某國政府機構發動入侵,戰術、技術與程序(TTP)高度重疊,顯示存在協調配合:
Mustang Panda 透過 USB 惡意程式 HIUPAN 搭配惡意 DLL 載入器植入 PUBLOAD 後門;
CL-STA-1048 部署 EggStremeFuel、
EggStremeLoader 與
MASOL RAT 等多種工具進行大規模資料竊取;
CL-STA-1049 則採用新型載入器 Hypnosis Loader 安裝 FluffyGh0st 遠端存取木馬(RAT)。研究人員指出,三者共享相同戰略目標,意圖建立對敏感政府網路的長期持久存取。
防禦建議
面對核心層植入程式,傳統防禦機制幾乎無用武之地。Rapid7 建議採取主動獵威(threat hunting)策略,具體措施包括:
- 主動掃描 Linux 系統核心層與程序層異常,留意偽裝成合法服務的可疑程序
- 監控 ICMP 流量異常模式,包括封包頻率與內容
- 優先修補 VPN、防火牆等邊緣設備的已知漏洞
- 針對容器化 5G 核心環境部署執行時期偵測機制
專家表示,目前許多電信業者對 BPFDoor 的存在仍一無所知。「問題不在於你能不能阻止它,而在於你是否真的準備好面對這類威脅。」
本文轉載自 DarkReading、TheHackerNews。