🔍 Contexte

Publié le 2 avril 2026 par Rapid7, cet article accompagne la sortie d’un whitepaper technique dédié à de nouveaux variants du backdoor BPFDoor, un implant Linux furtif utilisé dans des campagnes d’espionnage attribuées à des acteurs chinois. L’analyse couvre sept variants inédits (désignés F à L) identifiés lors de recherches en cours.

🧬 Variants identifiés

Variant F :

  • Se dissimule sous /var/run/user/0 pour éviter les logs auditd liés à chmod
  • Effectue un wipe complet des file descriptors et du timestomping
  • Utilise un filtre BPF de 26 instructions avec de nouveaux magic bytes
  • Deux ensembles de magic bytes distincts selon les samples

Variant G :

  • Architecture multi-thread avec trois threads indépendants sniffant simultanément TCP, UDP et ICMP via des raw sockets
  • Résilience C2 intégrée : si un protocole est bloqué, les autres restent actifs
  • Usurpe le nom de processus hpasmlited
  • Partage le filtre BPF de 229 instructions du variant D de TM

Variant HPE ProLiant :

  • Spécifiquement adapté aux serveurs HPE ProLiant déployés dans les infrastructures 4G/5G
  • Usurpe le processus cmathreshd avec les flags -p 5 -s OK imitant les HPE Insight Management Agents
  • Vérifie /var/run/cma.lock, tue l’agent HP légitime et prend sa place
  • Appelle unsetenv("LD_PRELOAD") pour désactiver les hooks de sécurité user-mode

Variant H (beacon actif) :

  • Contraste avec le comportement passif classique de BPFDoor : génère du trafic sortant actif
  • Résout des domaines DDNS dynamiques masqués en trafic NTP over SSL
  • Connexion sur le port 443 avec OpenSSL statiquement lié et chiffrement RC4-MD5
  • Kill switch : vérifie si l’IP résolue est 127.0.0.1 avant connexion
  • Utilise des stack strings pour contourner la détection statique

Variant I :

  • Filtre BPF de 11 instructions ciblant le port TCP 9999
  • Handshake en deux étapes : magic bytes 0xA9F205C3 puis mot de passe dP7sRa3XwLm29E
  • Spawne un reverse shell non chiffré

Variants J, K, L :

  • J = icmpShell, K = httpShell, L = samples avec uniquement la fonctionnalité ICMP relay

🌐 Domaines C2 observés

Domaine Rôle
ntpussl.instanthq.com Tunnel chiffré masqué en NTP over SSL
ntpupdate.ddnsgeek.com Mimétisme utilitaire système
ntpupdate.ygto.com Rotation rapide d’IP via DDNS
ntpd.casacam.net Camouflage trafic IoT/caméras résidentielles

🎯 Techniques MITRE ATT&CK couvertes

T1059.004, T1036.004, T1070.003, T1027, T1564, T1205, T1573.001, T1071.001, T1095, T1090, T1001, T1572

📄 Nature de l’article

Il s’agit d’une publication de recherche technique accompagnant un whitepaper et un webinar Rapid7, visant à documenter les évolutions de BPFDoor et fournir des indicateurs de détection aux équipes SOC et threat intelligence.

🧠 TTPs et IOCs détectés

TTP

  • T1059.004 — Command and Scripting Interpreter: Unix Shell (Execution)
  • T1036.004 — Masquerading: Masquerade Task or Service (Defense Evasion)
  • T1070.003 — Indicator Removal: Clear Command History (Defense Evasion)
  • T1027 — Obfuscated Files or Information (Defense Evasion)
  • T1564 — Hide Artifacts (Defense Evasion)
  • T1205 — Traffic Signaling (Persistence)
  • T1573.001 — Encrypted Channel: Symmetric Cryptography (Command and Control)
  • T1071.001 — Application Layer Protocol: Web Protocols (Command and Control)
  • T1095 — Non-Application Layer Protocol (Command and Control)
  • T1090 — Proxy (Command and Control)
  • T1001 — Data Obfuscation (Command and Control)
  • T1572 — Protocol Tunneling (Command and Control)

IOC

  • Domaines : ntpussl.instanthq.comVT · URLhaus · ThreatFox
  • Domaines : ntpupdate.ddnsgeek.comVT · URLhaus · ThreatFox
  • Domaines : ntpupdate.ygto.comVT · URLhaus · ThreatFox
  • Domaines : ntpd.casacam.netVT · URLhaus · ThreatFox
  • SHA256 : 2cc90edd9bc085f54851bed101f95ce2bace7c9a963380cfd11ea0bc60e71e0cVT · MalwareBazaar
  • SHA256 : de472ed37e33b79e1aa37e67a680ee3a9d74628438c209543a06e916a0a86fbaVT · MalwareBazaar
  • SHA256 : 757e911edaf45cc135f2498c38d4db8acec39cb6aeb3a1dcc38305ab2d326fa9VT · MalwareBazaar
  • SHA256 : ed768dd922742a597257ad684820d7562bb6be215710ec614bd041a22f3d6863VT · MalwareBazaar
  • SHA256 : 9ee77ed38e5bc69f841bdaba7c5e6c3bf30fd9ae94cd2e69f39834e9cec76e82VT · MalwareBazaar
  • SHA256 : 195b98211d1ce968669a0740ca08d0ddcf03a2df03a47e2e70550f6c002b49e8VT · MalwareBazaar
  • SHA256 : ca56622773c1b6f648b1578978b57aa668df25a11e0c782be008384a6af6c2c4VT · MalwareBazaar
  • Fichiers : icmpShell.py
  • Fichiers : rapid7_bpfdoor_check.sh
  • Chemins : /var/run/user/0
  • Chemins : /var/run/cma.lock

Malware / Outils

  • BPFDoor (backdoor)
  • icmpShell (backdoor)
  • httpShell (backdoor)

🟡 Indice de confiance : 63/100 (moyenne)

  • ⬜ rapid7.com — source non référencée (0pts)
  • ✅ 15032 chars — texte complet (fulltext extrait) (15pts)
  • ✅ 15 IOCs dont des hashes (15pts)
  • ✅ 1/6 IOC(s) confirmé(s) (MalwareBazaar, ThreatFox, URLhaus, VirusTotal) (8pts)
  • ✅ 12 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ⬜ aucun acteur de menace nommé (0pts)
  • ⬜ pas de CVE à vérifier (0pts)

IOCs confirmés externellement :

  • 2cc90edd9bc085f5… (sha256) → VT (37/76 détections)

🔗 Source originale : https://www.rapid7.com/blog/post/tr-new-whitepaper-stealthy-bpfdoor-variants/