Een langdurige en voortdurende campagne, toegeschreven aan een China-gerelateerde dreigingsactor, heeft zich genesteld in telecomnetwerken om spionage te plegen op overheidsnetwerken. Deze strategische positionering, waarbij stealthy toegangsmethoden worden geïmplanteerd en onderhouden binnen kritieke omgevingen, wordt toegeschreven aan Red Menshen, een dreigingscluster dat ook bekendstaat als Earth Bluecrow, DecisiveArchitect en Red Dev 18. De groep valt sinds minstens 2021 telecomproviders in het Midden-Oosten en Azië aan.

Volgens Rapid7 behoren de geheime toegangsmethoden tot de meest onopvallende digitale sluimercellen die ooit in telecommunicatienetwerken zijn aangetroffen. De campagne kenmerkt zich door het gebruik van kernel-level implantaten, passieve achterdeurtjes, tools voor het verzamelen van inloggegevens en cross-platform commandoframeworks, waarmee de dreigingsactor langdurig in netwerken kan blijven. Een van de bekendste tools in het malwarearsenaal is een Linux-achterdeur genaamd BPFDoor.

In tegenstelling tot conventionele malware opent BPFDoor geen luisterpoorten en onderhoudt het geen zichtbare command-and-controlkanalen. In plaats daarvan misbruikt het de Berkeley Packet Filter (BPF)-functionaliteit om netwerkverkeer direct in de kernel te inspecteren en wordt het alleen geactiveerd bij ontvangst van een specifiek samengesteld triggerpakket. Hierdoor is er geen persistente luisteraar of duidelijke signalering, wat resulteert in een verborgen achterdeur ingebed in het besturingssysteem zelf.

De aanvalsketen begint met het richten op internetgerichte infrastructuur en blootgestelde edge-diensten, zoals VPN-apparaten, firewalls en webplatforms van onder meer Ivanti, Cisco, Juniper Networks, Fortinet, VMware, Palo Alto Networks en Apache Struts, om initiële toegang te verkrijgen. Na succesvolle toegang worden Linux-compatibele beacon-frameworks zoals CrossC2 ingezet voor post-exploitatieactiviteiten. Daarnaast worden tools als Sliver, TinyShell (een Unix-achterdeur), keyloggers en brute-force utilities gebruikt voor het verzamelen van inloggegevens en laterale beweging binnen netwerken.

Centraal in de operaties van Red Menshen staat BPFDoor, dat uit twee onderdelen bestaat. Het eerste is een passieve achterdeur op het gecompromitteerde Linux-systeem die inkomend verkeer inspecteert op een vooraf gedefinieerd 'magisch' pakket door een BPF-filter te installeren en bij ontvangst een remote shell opent. Het tweede onderdeel is een controller die door de aanvaller wordt beheerd en verantwoordelijk is voor het verzenden van de speciaal opgemaakte pakketten. Deze controller kan binnen de omgeving van het slachtoffer opereren, zich voordoen als legitieme systeemprocessen en extra implantaten activeren op interne hosts, waardoor gecontroleerde laterale beweging mogelijk wordt.

Bovendien ondersteunen bepaalde BPFDoor-componenten het Stream Control Transmission Protocol (SCTP), wat de aanvaller in staat stelt telecom-specifieke protocollen te monitoren, inzicht te krijgen in het gedrag en de locatie van abonnees en zelfs personen van belang te volgen. Hiermee gaat de functionaliteit van BPFDoor verder dan een eenvoudige Linux-achterdeur. Het fungeert als een toegangslaag binnen de telecominfrastructuur die langdurige, geruisloze zichtbaarheid biedt in kritieke netwerkoperaties.

Daarnaast is een eerder onbekende variant van BPFDoor ontdekt met architecturale aanpassingen die het nog moeilijker maken om gedetecteerd te worden en langdurig onopgemerkt te blijven in moderne enterprise- en telecomomgevingen. Zo wordt het triggerpakket verborgen in ogenschijnlijk legitiem HTTPS-verkeer, wat de detectie verder bemoeilijkt.