2026年3月26日,Rapid7 Labs发布了一份让安全圈失眠的报告:一个被中国关联的APT组织,已经在全球6个地区的电信核心网里埋了"数字休眠舱",最老的样本可以追溯到2021年。三年零告警,运营商的日常监控工具——netstat、ss、nmap——全部失效。
这不是数据泄露那种"一次性伤害"。攻击者要的是长期潜伏在SS7、Diameter、SCTP这些电信协议的血管里,随时调取用户身份认证、位置移动、通信元数据。换句话说,他们把自己变成了网络基础设施的一部分。
后门长什么样:没有端口,没有进程,没有流量
这个叫BPFdoor的Linux后门,设计上就奔着"隐形"去的。它不监听端口,不发心跳包,甚至不创建可见的进程。它利用的是Berkeley Packet Filter(伯克利包过滤,简称BPF)——一个原本用来抓包分析的内核功能。
BPFdoor在内核里装了一个自定义过滤器,像一块单向玻璃:所有流量从它面前经过,它只看不响,直到收到一个特定字节序列的"魔法数据包"才会激活。系统管理员用常规工具扫一圈,看到的只有干净的进程表和关闭的端口列表。
Rapid7这次挖出来的新变种更刁钻。它不再依赖那个容易被抓包的魔法数据包,而是把触发指令藏进正常的HTTPS流量里。具体手法是:在SSL终止点(比如负载均衡器、反向代理)之后,利用解密后的内部网络区域投递命令。
为了对抗代理对HTTP头的重写,攻击者设计了一个叫"魔法标尺"的填充机制。无论代理怎么改头,一个标记字符串"9999"永远落在请求数据的第26字节或第40字节位置。这是动态的应用层伪装,代理越忙,它藏得越深。
横向移动靠的是ICMP协议。被控服务器之间用特制的ICMP包互发指令,包里嵌入0xFFFFFFFF作为"到此为止"的终止信号。整个链条没有传统C2流量,防火墙日志里只会出现一堆看起来正常的ping。
目标清单:6个地区,政府通信 collateral damage
Red Menshen的靶子选得很准。韩国、香港、缅甸、马来西亚、埃及,外加中东其他地区——全是地缘政治敏感地带,全是电信基础设施密集的区域。这些运营商承载的不只是普通用户流量,还有政府通信、跨境信令、关键行业协调。
一个被渗透的电信核心网能做什么?Rapid7的清单很具体:提取用户标识符(IMSI、MSISDN)、追踪位置更新事件、窃听认证交换过程、批量拉取通信元数据。攻击者不需要破解端到端加密,他们比加密更底层——他们知道你什么时候开机、从哪里漫游、在和谁通话。
更麻烦的是连带风险。很多政府网络依赖这些运营商作为传输通道,电信被控等于政府通信被旁路。这不是理论推演,Rapid7在报告中明确提到了这种"collateral risk"(附带风险)。
攻击时间线拉得很长。最早的BPFdoor样本出现在2021年,而Rapid7的主动探测从2025年6月才开始捕捉到新变种的C2基础设施。三年多的静默期,足够完成从初始入侵到全面部署的完整周期。
技术演进:从"有特征"到"无特征"
对比早期版本和新变种,能清晰看到一条隐身能力的升级路径。第一代BPFdoor依赖魔法数据包,虽然隐蔽,但理论上可以通过流量分析发现异常字节序列。新变种直接抛弃了这个特征,改用合法HTTPS作为载体,把触发逻辑埋进应用层。
ICMP控制通道的加入解决了另一个痛点:C2通信的可见性。传统后门需要和外部服务器保持连接,这会产生周期性的DNS查询、TLS握手、心跳包。ICMP echo request/response是网络基础设施的"背景噪音",几乎不会被优先审查。
Rapid7在分析中特别指出,这种设计让BPFdoor在"高度监控的环境中"依然有效。电信核心网恰恰是监控最密集的地方之一——运营商自己的安全团队、监管机构的合规审计、第三方威胁情报服务——三重防线全部绕过。
一个细节值得玩味:新变种的"魔法标尺"机制。攻击者显然预研过主流负载均衡器(F5、Nginx、HAProxy等)的头部重写行为,然后逆向工程出这个偏移量固定算法。这不是即兴发挥,是针对特定技术栈的定制开发。
这种级别的工程投入,指向一个判断:Red Menshen不是 opportunistic(机会主义)的勒索团伙,而是长期经营基础设施访问权限的国家级行为体。他们要的不是快钱,是持久的情报收集能力。
检测困境:当攻击者比防御者更懂内核
对安全团队来说,BPFdoor提出了一个尴尬的问题:你的监控工具,监控得到内核里的BPF程序吗?
大多数EDR(端点检测与响应)产品运行在用户态,对内核态的BPF过滤器 visibility 有限。netstat、ss、nmap这些标准工具更是完全盲区。Rapid7建议的检测方向包括:审计BPF系统调用、监控异常ICMP流量、分析HTTPS请求中的固定偏移模式——每一项都需要额外的数据采集和分析能力。
更深层的问题是供应链信任。BPF是Linux内核的合法功能,被广泛用于网络监控、性能分析、容器安全。禁用BPF不现实,但允许BPF就意味着给攻击者留了一扇后门形状的门。
电信行业的特殊之处在于,核心网设备往往由少数厂商(爱立信、诺基亚、华为等)提供,运行高度定制化的Linux发行版。这些系统的补丁周期、安全审计深度、BPF调用监控能力,参差不齐。攻击者只需要找到最薄弱的环节。
Rapid7在报告结尾没有给出乐观的预测。他们用了"long-term pre-positioning"(长期预置)这个词,暗示这类攻击的发现只是冰山一角。当安全研究员开始主动探测时,攻击者可能已经在下一版变种里修复了被识别的特征。
最后一个被披露的技术细节:某些BPFdoor样本会修改内核的BPF验证器行为,绕过安全检查直接加载未经验证的BPF字节码。这是从"利用合法功能"到"破坏安全机制"的跃迁。如果这种技术被复制到其他场景,影响范围将远超电信行业。
你的EDR上次报告内核BPF活动是什么时候?
热门跟贴