# BPFDoor > [!danger] Resumo > Backdoor Linux stealth-first de estado patrocinado, desenvolvido pelo grupo chines Red Menshen (Earth Bluecrow). Usa Berkeley Packet Filter (BPF) para interceptar pacotes magicos diretamente no kernel Linux, ativando reverse shell sem manter porta aberta ou conexão persistente - tornando-o invisivel a port scans e firewalls tradicionais. Ativo por pelo menos 4 anos antes de ser descoberto em 2021. Em 2026, Rapid7 lancou ferramenta de detecção pública. ## Visão Geral O [[s1161-bpfdoor|BPFDoor]] e um dos backdoors Linux mais sofisticados já documentados, projetado específicamente para persistência de longo prazo em ambientes corporativos. Diferente de backdoors tradicionais que mantem portas abertas ou conexoes regulares ao C2, o BPFDoor permanece completamente passivo - escutando todos os pacotes de rede no nivel do kernel via BPF sem nenhuma porta aberta ou trafico de rede sainte. A ferramenta foi descoberta em 2021 pela PwC, que a atribuiu ao grupo chines Red Menshen (também rastreado como Earth Bluecrow pela Trend Micro). O grupo tem alvejado provedores de telecomúnicacoes no Oriente Medio e Asia, alem de entidades governamentais, logisticas e educacionais desde pelo menos 2021, mas evidências sugerem que o malware estava ativo por varios anos antes da descoberta. O mecanismo central do BPFDoor e o uso do Berkeley Packet Filter - uma tecnologia do kernel Linux normalmente usada para análise de rede legitima. Ao instalar um filtro BPF, o malware pode inspecionar TODOS os pacotes que chegam ao servidor, mesmo os bloqueados pelo firewall. Quando um pacote contem a sequencia "magica" correta, o backdoor e ativado e abre uma reverse shell ou bind shell - sem nunca ter mantido uma porta aberta. Em abril de 2025, a Trend Micro revelou um controlador previamente nao observado associado ao BPFDoor, atribuido ao Earth Bluecrow, que permite ao atacante abrir reverse shells para controle interativo de hosts comprometidos. Em marco de 2026, a Rapid7 lancou públicamente um script de detecção específico para BPFDoor. **Plataformas:** Linux, Solaris ## Como Funciona O BPFDoor opera em tres fases: 1. **Instalacao e evasão**: Copia-se para `/dev/shm/kdmtmpflush` (memoria temporaria, nao gravada em disco), deleta o executavel original, e falsifica o nome do processo para se parecer com servico legítimo de sistema (ex: `/sbin/udevd -d`, `/usr/sbin/console-kit-daemon`). 2. **Monitoramento passivo**: Registra um filtro BPF que inspeciona TODOS os pacotes recebidos - TCP, UDP e ICMP - buscando sequencias magicas (0x7255 para UDP/ICMP, 0x5293 para TCP). Como o BPF opera no kernel antes do firewall, pacotes bloqueados pelo netfilter ainda chegam ao filtro. 3. **Ativacao on-demand**: Quando recebe o pacote magico com a senha correta, o BPFDoor pode: (a) abrir reverse shell criptografada com libtomcrypt; (b) redirecionar porta existente via iptables para shell; (c) confirmar que o backdoor esta ativo. ## Cadeia de Infecção e Operação ```mermaid graph TB A["Acesso Inicial<br/>Exploração de dispositivos<br/>de borda VPN/rede"] --> B["Implantação BPFDoor<br/>Copia para /dev/shm/<br/>memoria temporaria"] B --> C["Falsificação de Processo<br/>Nome mascarado como<br/>servico legítimo de SO"] C --> D["Filtro BPF Instalado<br/>Inspecao de TODOS<br/>os pacotes no kernel"] D --> E["Estado Passivo<br/>Sem porta aberta<br/>Sem conexão C2"] E --> F["Pacote Magico Recebido<br/>0x7255 UDP/ICMP<br/>0x5293 TCP com senha"] F --> G["Ativacao do Shell<br/>Reverse shell criptografada<br/>ou redirecionamento de porta"] G --> H["Controle Interativo<br/>Comandos executados<br/>com privilegio root"] ``` ## Evolução de Variantes ```mermaid timeline title BPFDoor - Evolução 2021 : Descoberta pela PwC : Variante inicial com RC4 e bind shell : Atribuicao ao Red Menshen 2022 : Análise publica detalhada : Sandbox Elastic Security Labs : Alvos telecoms Oriente Medio e Asia 2023 : Nova variante detectada : Biblioteca libtomcrypt (substituiu RC4) : Reverse shell no lugar de bind shell : 6x mais instrucoes no filtro BPF 2025 : Controlador associado revelado : Trend Micro documenta Earth Bluecrow : Alvos em Korea do Sul, Hong Kong, Egito 2026 : Rapid7 lanca script de detecção publico : Ativo contra telecoms, financas e varejo ``` ## Tacticas, Técnicas e Procedimentos (TTPs) | Tática | Técnica | Descrição | |--------|---------|-----------| | C2/Evasão/Persistência | [[t1205-002-socket-filters\|T1205.002]] | Filtro BPF para inspecao de pacotes e ativacao via magic packet | | C2/Evasão | [[t1205-traffic-signaling\|T1205]] | Sequencias magicas para ativar backdoor sem porta aberta | | C2 | [[t1573-encrypted-channel\|T1573]] | Reverse shell criptografada com libtomcrypt | | Execução | [[t1106-native-api\|T1106]] | Chamadas nativas ao SO via popen e APIs do kernel | | Execução | [[t1059-004-unix-shell\|T1059.004]] | Shell Unix com privilegio root via reverse shell | | Evasão | [[t1036-004-masquerade-task-or-service\|T1036.004]] | Nome do processo falsificado como servico legítimo | | Evasão | [[t1562-001-disable-or-modify-tools\|T1562.001]] | Desativa logging de comandos no MySQL e shell | ## Setores e Alvos Alvos documentados em 2024 (Trend Micro): | Pais | Setor | |------|-------| | Korea do Sul | Telecomúnicacoes | | Hong Kong | Telecomúnicacoes | | Myanmar | Telecomúnicacoes | | Malaysia | Financeiro | | Egito | Varejo | ## Relevância LATAM/Brasil Embora os alvos documentados do BPFDoor se concentrem no Oriente Medio e Asia, o Red Menshen tem escopo global. Empresas brasileiras de telecomúnicacoes, provedores de internet (ISPs) e grandes conglomerados financeiros que operam infraestrutura Linux sao potenciais alvos da mesma campanha de espionagem de estado. Em marco de 2026, a Rapid7 lancou um script de detecção público em resposta a ameaça continua do BPFDoor contra telecoms globais - incluindo americanas, canadenses e europeias. A natureza do ataque (comprometer servidores Linux de longa vida útil) e altamente relevante para a infraestrutura de telecoms do Brasil. ## Detecção > [!tip] Indicadores de Detecção > - Listar processos com filtros BPF abertos usando `ss -0p` - qualquer processo com socket raw que nao sejá reconhecido e suspeito > - Buscar processos rodando de `/dev/shm/` - essa localização so deve ter dados temporarios, nunca executaveis > - Verificar mismatches entre nome do processo no `ps` e o binario real em `/proc/PID/exe` > - Detectar regras iptables adicionadas dinâmicamente redirecionando portas para range 42391-43390 > - Buscar processos com variaveis de ambiente vazias (comportamento anti-forensico do BPFDoor) > - Script Rapid7: disponível públicamente para varredura de variantes conhecidas em ambientes Linux ## Referências - [MITRE - T1205.002 Socket Filters](https://attack.mitre.org/techniques/T1205/002/) - [Trend Micro - BPFDoor Hidden Controller](https://www.trendmicro.com/de_de/research/25/d/bpfdoor-hidden-controller.html) - [Elastic Security Labs - BPFDoor Analysis](https://www.elastic.co/security-labs/a-peek-behind-the-bpfdoor) - [Deep Instinct - BPFDoor Malware Evolves](https://www.deepinstinct.com/blog/bpfdoor-malware-evolves-stealthy-sniffing-backdoor-ups-its-game) - [Sandfly Security - BPFDoor Technical Analysis](https://sandflysecurity.com/blog/bpfdoor-an-evasive-linux-backdoor-technical-analysis) - [Rapid7 - BPFDoor Detection Script (2026)](https://www.helpnetsecurity.com/2026/03/26/telecom-bpfdoor-detection-script/)