red-menshen - RunkIntel

# Red Menshen > [!high] Grupo de espionagem chinês com implant de kernel furtivo em telecoms > Red Menshen é um grupo APT com nexo na China especializado em comprometimentos silenciosos de longa duração em redes de telecomúnicações via o implant BPFDoor — uma backdoor de nível de kernel que permanece completamente dormante até receber um "magic packet", tornando-o práticamente invisível para ferramentas convencionais de detecção. > [!latam] Relevância para o Brasil e América Latina > A relevância do Red Menshen para o Brasil cresce com o aumento do investimento chinês em infraestrutura de telecomúnicações na região. Operadoras brasileiras com parceiros de infraestrutura de origem chinesa representam superfície de ataque potencial para espionagem de longo prazo. O BPFDoor pode permanecer ativo em sistemas Linux por anos sem detecção por ferramentas tradicionais de segurança. ## Visão Geral O **Red Menshen** é um grupo de ameaça persistente avançada (APT) com atribuição ao nexo chinês, identificado pelo **PwC Threat Intelligence** em 2022. O grupo é também rastreado como **DecisiveArchitect** e **RainyMifan** por diferentes pesquisadores. Está ativo desde pelo menos 2021 e manteve operações documentadas até 2026, com foco primário em operadoras de telecomúnicações e infraestrutura crítica no Oriente Médio e Ásia. O diferencial tático do Red Menshen é o uso do implant Linux **[[s1161-bpfdoor|BPFDoor]]** como ferramenta principal de persistência e acesso furtivo. O BPFDoor utiliza a funcionalidade Berkeley Packet Filter (BPF) do kernel Linux para permanecer completamente **dormante** até receber um "magic packet" especialmente criado — o que o torna práticamente invisível para ferramentas de detecção baseadas em tráfego de rede ou varredura de portas abertas. Não há porta de escuta aberta, não há processo com nome suspeito, e não há conexão de rede ativa enquanto o implant aguarda ativação. O foco em comprometimentos de infraestrutura de borda — VPN appliances, firewalls e roteadores corporativos — permite ao grupo monitorar passivamente volumes massivos de tráfego de rede sem acionar alertas convencionais. Os **dwell times** documentados do grupo são medidos em meses a anos, refletindo uma estratégia de persistência de baixo ruído voltada para coleta de inteligência de longo prazo. Para o Brasil e a América Latina, a relevância cresce na medida em que o investimento chinês em infraestrutura de [[telecommunications|telecomúnicações]] aumenta na região. Parceiros de infraestrutura com nexo China representam superfície de ataque potencial para espionagem de longo prazo via cadeia de suprimentos ou comprometimento direto. ## Attack Flow ```mermaid graph TB A["Comprometimento Appliance de Borda"] --> B["BPFDoor Deploy Kernel Implant"] B --> C["Dormência Sem Porta Aberta"] C --> D["Magic Packet Ativação Remota"] D --> E["Reverse Shell Unix Shell"] E --> F["SIGINT Passivo Tráfego Telecom"] classDef vermelho fill:#e74c3c,stroke:#c0392b,color:#fff classDef laranja fill:#f39c12,stroke:#e67e22,color:#fff classDef azul fill:#3498db,stroke:#2980b9,color:#fff class A,B vermelho class C,D laranja class E,F azul ``` **Legenda:** Comprometimento de VPN/firewall de borda, deploy do BPFDoor como implant de kernel completamente dormante (invisível a netstat e scans), ativação sob demanda via magic packet, shell reverso para coleta de inteligência de longo prazo em redes de telecom. ## TTPs Principais | Tática | Técnica | ID MITRE | Descrição | |--------|---------|----------|-----------| | Acesso Inicial | Comprometimento de appliance de borda | T1190 | VPN, firewall, roteador como ponto de entrada | | Persistência | Traffic Signaling | [[t1205-traffic-signaling\|T1205]] | BPFDoor ativado via "magic packet" — sem porta aberta | | Persistência | Rootkit | [[t1014-rootkit\|T1014]] | Implants de nível de kernel para persistência avançada | | Execução | Unix Shell | [[t1059-004-unix-shell\|T1059.004]] | Execução pós-comprometimento via shell reverso | | Evasão | Non-Standard Port | [[t1571-non-standard-port\|T1571]] | Evasão de inspeção de tráfego por porta não padrão | | Evasão | Indicator Removal | [[t1070-indicator-removal\|T1070]] | Remoção de artefatos para dificultar forense | ## Malware Associado O arsenal do Red Menshen é centrado no **[[s1161-bpfdoor|BPFDoor]]**, um implant Linux altamente furtivo que representa uma evolução técnica significativa no espaço de backdoors persistentes. | Malware | Tipo | Plataforma | Notas | |---------|------|-----------|-------| | [[s1161-bpfdoor\|BPFDoor]] | Backdoor passiva | Linux | Ativado via magic packet; sem porta aberta; nível de kernel | ## Detecção e Defesa **Por que o BPFDoor é difícil de detectar:** - Não mantém porta de rede aberta — não aparece em `netstat` ou varreduras de porta - Processo pode ter nome disfarçado como processo legítimo do sistema - Comúnicação iniciada pelo atacante via magic packet — tráfego de saída mínimo - Pode sobreviver a reboots via persistência em nível de kernel **Indicadores comportamentais a monitorar:** - Processos Linux com uso anômalo de chamadas de sistema BPF (monitorar via `bpftool prog list`) - Conexões de shell reverso iniciadas por processos de sistema inesperados - Binários em localizações incomuns com timestamps de modificação suspeitos - Análise de memória para identificar sockets BPF não explicados por aplicações legítimas **Mitigações recomendadas:** - Implementar EDR com capacidade de detecção de chamadas de sistema Linux em servidores de telecomúnicações ([[m1049-antivirus|M1049]]) - Auditar regularmente programas BPF carregados com ferramentas como `bpftool` - Segmentar redes de telecomúnicações e limitar acesso a appliances de borda ([[m1030-network-segmentation|M1030]]) - Monitorar integridade de binários do sistema em servidores Linux críticos - Implementar verificação de integridade de firmware em appliances de borda ## Referências - [PwC - Red Menshen Threat Actor](https://www.pwc.com/gx/en/issues/cybersecurity/cyber-threat-intelligence/red-menshen.html) - [Cyware - Red Menshen leverages BPFDoor implants](https://www.cyware.com/resources/threat-briefings/daily-threat-briefing/cyware-daily-threat-intelligence-march-27-2026) - [[s1161-bpfdoor|BPFDoor - Implant Linux Passivo]] - [[telecommunications|Setor de Telecomúnicações - Perfil de Ameaças]]