文章总结： Rapid7Labs调查发现威胁组织’红色门神’在韩国、香港等地电信网络中植入BPFdoor后门，该Linux后门利用BerkeleyPacketFilter在内核运行，通过HTTPS流量隐藏触发命令和ICMP控制信道实现隐蔽通信，针对4G/5G核心网络设备。建议使用开源扫描脚本检测并加强内核级监控。 综合评分： 85 文章分类： 恶意软件,威胁情报,漏洞分析,网络安全,安全工具

黑客在电信网络中植入隐蔽的 BPFdoor 后门，以实现长期访问

Rhinoer Rhinoer

犀牛安全

2026年4月3日 00:00 北京

在小说阅读器读本章

去阅读

Rapid7 Labs 历时数月的调查揭露了与某国有关联的威胁组织“红色门神”开展的一项复杂的、由国家支持的间谍活动，该组织在全球电信基础设施中植入了一些有史以来最隐蔽的数字休眠小组。

2026 年 3 月 26 日发布的调查结果显示，黑客的攻击方式已从机会主义的黑客攻击转向在支撑国家和国际通信的骨干网络中进行长期预先部署。

电信网络承载政府通信、验证用户身份、协调关键行业以及处理跨境信令流。

这些环境的核心是依赖SS7 、Diameter 和 SCTP等专用协议来管理用户身份、移动性和全球连接，这使得它们在情报收集方面具有独特的价值，远远超出了传统数据泄露所能实现的范围。

在电信核心网内持续访问可以暴露用户标识符、移动事件、身份验证交换和通信元数据，从而实现对高价值地缘政治目标的大规模跟踪。

红门神专门针对韩国、香港、缅甸、马来西亚、埃及和中东的电信运营商，其附带风险甚至波及到依赖这些运营商的政府网络。

BPFdoor：内核级陷门

此次攻击活动的核心是BPFdoor，这是一个隐蔽的 Linux 后门，它利用 Berkeley Packet Filter (BPF) 功能在操作系统内核中运行。

与传统恶意软件不同，BPFdoor 不会打开监听端口或生成可见的命令与控制信标。相反，它会在内核中安装一个自定义的 BPF 过滤器，该过滤器会静默地检查传入流量，并且仅在收到包含预定义字节序列的特制“魔术包”时才会激活。netstat、ss 或 nmap 等工具不会显示任何异常；系统看起来完全干净。

Rapid7 Labs 发现了一种此前未被记录的 BPFdoor变种，该变种显著提升了其隐蔽能力。与以往依赖可检测的“魔术包”不同，更新后的变种将命令触发器隐藏在合法的 HTTPS 流量中，利用负载均衡器和反向代理等 SSL 终止点，在内部网络区域解密后传递激活命令。

一种复杂的“魔法尺”填充机制确保标记字符串（“9999”）始终位于被检查请求数据中固定的 26 字节或 40 字节偏移量处，从而使植入程序能够经受住代理标头重写，有效地创建动态的 Layer-7 伪装。

0xFFFFFFFF该变种还采用了基于 ICMP 的控制信道，其中受损服务器使用嵌入了“不要转发”终端信号的精心构造的 ICMP 数据包相互转发命令，从而实现横向传播而无需标准 C2 流量。

基础设施级伪装

一些 BPFdoor 样本会模仿 HPE ProLiant 裸机服务器上的合法进程，特别是冒充属于 HPE 无代理管理服务的守护进程 hpasmlited，以融入运行 4G/5G 核心工作负载的电信硬件环境。

其他样本会伪造 Docker 和 containerd 组件，目标是 Kubernetes 托管的 5G 核心功能，例如 AMF、SMF 和 UDM。

初始攻击目标始终是边缘基础设施：Ivanti Connect Secure VPN、Cisco 和 Juniper 网络设备、Fortinet 防火墙以及 VMware ESXi 主机。后续攻击工具包括 CrossC2、TinyShell、SSH 暴力破解工具以及带有电信感知凭证列表（其中包含“imsi”等术语）的自定义 ELF 键盘记录器

Rapid7 已与国家级 CERT 和政府合作伙伴协调，通知受影响的组织。该公司发布了一款免费的开源扫描脚本，能够检测旧版和新版 BPFdoor，以帮助组织快速验证暴露情况。

强烈建议防御者扩大对 Linux 系统内核级操作、原始 BPF 过滤器活动和异常高端口行为的可见性——目前大多数组织在这些领域缺乏足够的监控深度。

信息来源：CyberSecurityNews

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：犀牛安全 Rhinoer Rhinoer《黑客在电信网络中植入隐蔽的 BPFdoor 后门，以实现长期访问》