中國駭客Red Menshen在電信公司植入後門BPFDoor

資安公司Rapid7指出，他們發現Red Menshen長期滲透全球電信網路，部署後門程式BPFDoor，從事高階的網路間諜活動。由於電信網路是數位世界的中樞神經系統，承載政府通訊，協調重要產業，並維繫數十億人的數位身分，一旦這種網路被入侵，後果將會非常嚴重。雖然相關活動看似獨立的資安事故，然而Rapid7指出，實際上是結構性的攻擊行動，主要目的是在電信基礎設施建立持續存取權限。

駭客使用的核心工具為Linux後門程式BPFDoor，其最大特徵在於運作於作業系統核心層（kernel），並濫用Berkeley Packet Filter（BPF）機制直接監控網路封包。與傳統惡意程式不同，BPFDoor僅在接收到特定封包才會啟動，不會開啟監聽埠，也不會建立明顯的C2連線，形成難以偵測的隱藏入口。

攻擊者通常先利用VPN、邊緣設備，或公開網路服務的漏洞取得初始存取權限，接著在系統中部署BPFDoor、CrossC2、TinyShell，以及鍵盤側錄程式等作案工具。

值得留意的是，Red Menshen使用BPFdoor有前例可循，最早是研究人員Kevin Beaumont於2021年看到相關活動，去年趨勢科技也發現駭客將其用於針對亞洲與中東地區的攻擊。而這波活動使用的BPFdoor技術已經進化，新版本可將觸發訊號隱藏於HTTPS加密流量，甚至支援SCTP等電信專用通訊協定，使其能潛伏於4G與5G核心網路環境，顯著提升隱蔽性與滲透深度。