Um grupo ligado à China está usando malware furtivo para espionar redes de telecomunicações e manter acesso prolongado a ambientes estratégicos, em uma campanha atribuída ao cluster Red Menshen.
Segundo a investigação, a operação atinge operadoras no Oriente Médio e na Ásia desde pelo menos 2021, com o objetivo de alcançar também redes governamentais conectadas a essa infraestrutura.
O principal componente da campanha é o BPFDoor, um backdoor para Linux projetado para operar com baixo ruído. Diferentemente de malwares tradicionais, ele não mantém portas abertas nem canais visíveis de comando e controle. Em vez disso, usa a funcionalidade Berkeley Packet Filter (BPF) para inspecionar o tráfego diretamente no kernel e só é ativado quando recebe um pacote especialmente preparado.
A cadeia de ataque começa com a exploração de infraestrutura exposta à internet, como appliances de VPN, firewalls e plataformas web associadas a fabricantes como Ivanti, Cisco, Juniper Networks, Fortinet, VMware, Palo Alto Networks e também Apache Struts.
Depois do acesso inicial, os invasores implantam frameworks como CrossC2, Sliver, TinyShell, keyloggers e utilitários de força bruta para coleta de credenciais e movimentação lateral.
A pesquisa também aponta que o controlador pode operar de dentro do ambiente da vítima, disfarçando-se como processo legítimo e acionando novos implantes em hosts internos. Isso amplia a capacidade de movimentação lateral sem chamar atenção e ajuda o grupo a preservar persistência em redes críticas por longos períodos.
