🔍 Contexte

Rapid7 Labs publie le 26 mars 2026 un rapport d’investigation approfondi sur une campagne d’espionnage avancée ciblant les réseaux de télécommunications mondiaux. L’acteur identifié est Red Menshen, un groupe à nexus chinois (China-nexus), opérant sur le long terme avec des objectifs d’espionnage stratégique à haute valeur.

🎯 Cibles et objectifs

Les cibles principales sont les opérateurs de télécommunications et les réseaux gouvernementaux. L’objectif est de positionner des accès persistants et dormants (« sleeper cells ») au cœur des infrastructures télécoms, permettant :

  • La collecte de métadonnées de communications
  • Le suivi de la mobilité des abonnés (IMSI, SUCI)
  • L’accès aux flux de signalisation SS7, Diameter, SCTP
  • La surveillance de communications sensibles à l’échelle nationale

🛠️ Chaîne d’attaque

Accès initial via exploitation de services exposés (T1190) et abus de comptes valides (T1078) sur des équipements de périmètre :

  • Ivanti Connect Secure VPN
  • Cisco IOS / JunOS
  • Fortinet firewalls
  • VMware ESXi
  • Palo Alto appliances
  • Apache Struts

Post-exploitation et persistance :

  • CrossC2 : beacon Linux dérivé de Cobalt Strike pour l’exécution de commandes et le pivoting
  • TinyShell : backdoor passif open-source compilé pour Linux/FreeBSD
  • Sliver : framework post-exploitation
  • Keyloggers ELF personnalisés
  • Brute-forcers SSH avec listes de credentials spécifiques aux télécoms (ex. username “imsi”)

🦠 BPFdoor : analyse technique

BPFdoor est un backdoor Linux furtif abusant du mécanisme Berkeley Packet Filter (BPF) au niveau du noyau. Il ne maintient aucun port d’écoute visible et s’active uniquement via un magic packet spécifique.

Les nouvelles variantes découvertes introduisent :

  • Trigger HTTPS camouflé : la commande d’activation est dissimulée dans du trafic HTTPS légitime, passant à travers proxies et WAF
  • Magic ruler 26/40 bytes : mécanisme de padding mathématique garantissant que le marqueur “9999” apparaît à un offset fixe (26e ou 40e byte) pour survivre aux modifications de headers par les proxies
  • Chiffrement RC4-MD5 : canal C2 interactif post-activation, similaire aux familles RedXOR et PWNIX
  • Canal ICMP : communication inter-hôtes compromis via paquets ICMP avec marqueur 0xFFFFFFFF comme signal terminal
  • Masquage bare-metal : imitation du processus HPE ProLiant “hpasmlited” (HPE Agentless Management Service)
  • Masquage conteneurs : imitation de Docker daemon (/usr/bin/dockerd) et containerd pour se fondre dans les environnements Kubernetes 5G core
  • Filtrage SCTP : inspection du trafic de signalisation télécom natif (4G/5G), permettant l’accès aux identifiants IMSI, SUCI et aux flux de mobilité

📊 Architecture BPFdoor

L’implant fonctionne en deux composants distincts :

  1. L’implant : backdoor passif installé sur le système compromis, installe un filtre BPF malveillant dans le noyau
  2. Le contrôleur : opéré par l’attaquant, envoie les paquets d’activation et peut masquer des processus système légitimes pour le mouvement latéral

📁 Type d’article

Publication de recherche technique par Rapid7 Labs, visant à documenter une campagne d’espionnage active, partager des IOCs et un outil de détection open-source avec la communauté défensive.

🧠 TTPs et IOCs détectés

Acteurs de menace

  • Red Menshen (state-sponsored)

TTP

  • T1190 — Exploit Public-Facing Application (Initial Access)
  • T1078 — Valid Accounts (Initial Access)
  • T1059 — Command and Scripting Interpreter (Execution)
  • T1543 — Create or Modify System Process (Persistence)
  • T1036 — Masquerading (Defense Evasion)
  • T1036.004 — Masquerade Task or Service (Defense Evasion)
  • T1205 — Traffic Signaling (Defense Evasion)
  • T1205.001 — Port Knocking (Defense Evasion)
  • T1056.001 — Keylogging (Collection)
  • T1110.001 — Password Guessing (Credential Access)
  • T1071.001 — Web Protocols (Command and Control)
  • T1095 — Non-Application Layer Protocol (Command and Control)
  • T1572 — Protocol Tunneling (Command and Control)
  • T1021.004 — SSH (Lateral Movement)
  • T1014 — Rootkit (Defense Evasion)
  • T1027 — Obfuscated Files or Information (Defense Evasion)

IOC

  • Fichiers : hpasmlited
  • Fichiers : dockerd
  • Chemins : /usr/bin/dockerd
  • Chemins : /run/containerd/containerd.sock

Malware / Outils

  • BPFdoor (backdoor)
  • CrossC2 (framework)
  • TinyShell (backdoor)
  • Sliver (framework)
  • RedXOR (backdoor)
  • PWNIX (backdoor)
  • Symbiote (backdoor)
  • Cobalt Strike (framework)

🔗 Source originale : https://www.rapid7.com/blog/post/tr-bpfdoor-telecom-networks-sleeper-cells-threat-research-report/