中國駭客升級 BPFDoor 後門程式，利用新手法潛伏電信網路

攻擊背景與目標

資安公司 Rapid7 於 3 月底揭露中國駭客組織 Red Menshen（Earth Bluecrow）的攻擊行動，該組織鎖定電信網路部署後門程式 BPFDoor，長時間潛伏在 4G 與 5G 核心網路環境中。

最新變種與偵測難點

近期調查指出，駭客已發展出多個新的變種，其中引入了 C2 路由 與 ICMP 中繼 手法，使得該後門程式的活動更加難以追蹤。一般後門程式會開啟監聽 Port 或主動連線回控制伺服器（C2），但 BPFDoor 完全不同，它不開 Port，也不主動連線，而是利用 Berkeley 封包過濾器（BPF）功能檢查流量。

技術細節與隱蔽策略

舊版本 BPFDoor 會在任意網路封包中尋找觸發字串，而最新變種則將觸發封包偽裝成正常的 HTTPS 請求，藏匿於加密的傳輸層安全協定（TLS）中。此外，新型態的 BPFDoor 甚至直接採用「無狀態 C2（Stateless C2）」和「ICMP 中繼」技術，將 ICMP 當作隱形中繼站，讓駭客在受害者伺服器內長時間活動而不留下明顯的網路特徵。

潛在威脅

由於 BPFDoor 執行在 Linux 系統核心層級，一旦攻擊者透過無狀態協定的隧道建立連接，該後門程式就可能在受害企業組織中難以被偵測。這種攻擊方式對企業防火牆與傳統資安防線構成重大挑戰，因為它規避了常見的監控機制。