Een door China gesteunde, staatssponsorde dreigingsactor heeft volgens Rapid7 kernel-implantaten en passieve backdoors diep binnen de wereldwijde telecommunicatie backbone infrastructuur geplaatst voor langdurige aanwezigheid. Deze digitale sluimercellen zijn niet gekoppeld aan een bekende APT-groep, maar zijn bedoeld voor hoogstaande spionage, onder meer gericht op overheidsnetwerken, aldus het cybersecuritybedrijf.

De persistente tools werden ingezet via discrete inbraken met terugkerende kenmerken, wat wijst op een voortdurende operatie die gericht is op het verankeren van onopvallende toegangsmethoden diep binnen telecom- en kritieke omgevingen. Rapid7 ontdekte tijdens het onderzoek passieve backdoors en kernel-level implantaten die werden gecombineerd met credential harvesters en cross-platform command frameworks. Deze componenten vormen samen een laag voor blijvende toegang, ontworpen om netwerken niet alleen te penetreren, maar er ook langdurig in te verblijven.

Een belangrijk onderdeel van de campagne is BPFdoor, een stealthy Linux backdoor die in 2021 openbaar werd beschreven en gebruikmaakt van Berkeley Packet Filter (BPF) functionaliteit voor pakketinspectie binnen de kernel. De backdoor reageert alleen op specifieke pakketten. Voor de initiële toegang werden publieke applicaties en geldige accounts misbruikt. De hackers richtten zich op apparaten van onder andere Ivanti, Cisco, Fortinet, VMware en Palo Alto Networks, evenals op webplatforms zoals Apache Struts.

Vervolgens werden Linux beacon frameworks zoals CrossC2 ingezet, een Cobalt Strike-afgeleide beacon die vaak door Chinese APT’s wordt gebruikt voor staging, commando-uitvoering en laterale beweging. Voor blijvende aanwezigheid gebruiken de aanvallers vaak het open source passive backdoor framework TinyShell. Daarnaast worden SSH brute-forcers, aangepaste keyloggers en brute-force tools met vooraf ingevulde credentiallijsten voor telecomomgevingen ingezet.

De BPFdoor backdoor, waarvan de broncode in 2022 online uitlekte, wordt in de Linux kernel geplaatst en blijft inactief totdat een specifiek magisch bytepatroon in een speciaal pakket wordt ontvangen. Dan opent de backdoor een bind shell of reverse shell. Rapid7 vond meerdere BPFdoor-varianten in het wild, allemaal ELF-bestanden, met ook Solaris-varianten. Er is een scanner beschikbaar gesteld om mogelijke infecties te detecteren.

Sommige BPFdoor-varianten bootsen bare-metal infrastructuur na om als legitieme enterpriseplatforms te verschijnen, terwijl andere kerncomponenten van containerisatie imiteren. Nieuwere versies verbergen de trigger binnen ogenschijnlijk legitiem HTTPS-verkeer, waarbij het triggerpatroon precies op de 26e byte-offset van de data staat. Deze variant combineert versleutelde HTTPS-triggers, proxy-bewuste commando-overdracht, camouflage op applicatieniveau, ICMP-gebaseerde besturingssignalen en kernel-level pakketfiltering om meerdere lagen van moderne netwerkverdediging te omzeilen.

Rapid7 benadrukt dat de mogelijkheden van BPFdoor het gevaar groter maken dan bij een typische stealth backdoor, waardoor het een toegangslayer vormt tot telecom backbone infrastructuur. De aanvallers richten zich niet op individuele servers, maar op onderliggende platforms die moderne telecommunicatienetwerken aandrijven, zoals bare-metal systemen met telecom workloads, cloud-native Kubernetes-omgevingen met Containerized Network Functions en signaleringsprotocollen die abonnees en communicatie coördineren.