Red Menshen把后门藏了4年|后门|数据包|服务器|端口

2021年，某个中东电信运营商的工程师发现服务器负载异常波动，排查三天后一无所获。他永远不会知道，那台机器的内核里已经住进了一个"看不见的房客"——它不监听端口、不发心跳包、不写入日志，直到收到一封特定格式的"暗号"才会苏醒。

Rapid7最新报告揭开了这个持续四年的秘密：一个被命名为Red Menshen的中国关联威胁组织，已将触角伸入亚洲和中东的多国电信网络。他们使用的工具BPFDoor，被安全研究员称为"电信网络中遇到过的最隐蔽的数字休眠细胞"。

BPFDoor的运作逻辑：把后门做成"感应门铃"

传统后门像一台一直响着的对讲机——持续监听端口、定期向外报告位置，很容易被流量分析发现。BPFDoor的做法截然相反：它把自己变成了一枚"感应门铃"。

具体来说，它在Linux内核中植入一个伯克利包过滤器（Berkeley Packet Filter，一种内核级网络流量分析机制），被动检查所有经过的数据包。只有当检测到预设的"魔法数据包"时，才会触发远程shell。其余时间，它完全静默。

Rapid7 Labs的描述很精确：「没有持久监听器，没有明显的信标行为。结果是一个嵌入操作系统本身的隐藏陷阱门。」

这种设计让常规安全工具几乎无法察觉。端口扫描？没有开放端口。流量分析？没有异常外联。日志审计？内核级操作不留下痕迹。一位参与溯源的研究员打了个比方：这就像在房子里装了一个声控灯，但只有说对特定暗语才会亮——而房主的电表根本看不出异常。

更棘手的是控制端的设计。攻击者可以将控制器部署在受害网络内部，伪装成合法系统进程，通过发送激活数据包在内部主机间横向移动。这意味着一旦突破边界，他们能在内网"隐身漫步"而不触发任何边界告警。

攻击链还原：从边缘设备到内核深处

Red Menshen的入侵路径经过精心规划，每一步都针对电信网络的典型弱点。

初始访问阶段，他们扫描面向互联网的基础设施和暴露的边缘服务——VPN设备、防火墙、Web平台。报告列出的目标清单包括Ivanti、Cisco、Juniper Networks、Fortinet、VMware、Palo Alto Networks以及Apache Struts相关系统。这些都是企业网络的"正门"，也是补丁管理最难覆盖的角落。

获得立足点后，攻击者部署Linux兼容的Beacon框架CrossC2进行后渗透活动。同时投放的工具包括：Sliver（跨平台命令控制框架）、TinyShell（Unix后门）、键盘记录器和暴力破解工具——后者用于凭证收集和横向移动。

但所有这些只是铺垫。BPFDoor的植入才是核心目标。一旦进入内核，攻击者便获得了"上帝视角"：可以截获经过该设备的任意网络流量，包括其他用户的通信元数据。