🔍 Contexte

Article publié le 8 avril 2026 sur le blog de Cloudflare, rédigé par Axel Boesenach. Il présente une recherche technique sur l’automatisation de l’analyse des filtres Berkeley Packet Filter (BPF) utilisés par des malwares Linux comme BPFDoor.

🧩 Problématique

Les malwares Linux exploitent des programmes BPF classiques (non eBPF) pour rester dormants jusqu’à la réception d’un magic packet spécifique. Ces filtres peuvent dépasser 200 instructions, rendant leur rétro-ingénierie manuelle très coûteuse en temps (jusqu’à une journée de travail pour certains échantillons).

⚙️ Approche technique

Cloudflare a développé une approche en deux étapes :

  1. Calcul du chemin le plus court : parcours en largeur (BFS) des instructions BPF pour identifier les chemins menant à une condition ACCEPT.
  2. Exécution symbolique avec Z3 : utilisation du theorem prover Z3 (Microsoft) pour résoudre les contraintes et générer automatiquement les octets du paquet réseau valide.
  3. Construction du paquet : utilisation de scapy pour assembler le paquet final à partir des contraintes résolues.

🦠 Cas d’usage : BPFDoor

BPFDoor est une backdoor Linux passive utilisée pour la cyberespionnage, attribuée à des acteurs étatiques chinois dont Red Menshen (alias Earth Bluecrow). Actif depuis au moins 2021, il cible les secteurs des télécommunications, de l’éducation et du gouvernement, principalement en Asie et au Moyen-Orient.

L’échantillon analysé (SHA256 : 82ed617816453eba2d755642e3efebfcbd19705ac626f6bc8ed238f4fc111bb0) provient d’une recherche Fortinet. Son filtre BPF accepte des paquets IPv6/UDP à destination du port 53 (DNS).

🛠️ Outil publié

Cloudflare open-source l’outil filterforge sur GitHub, permettant à la communauté de :

  • Déconstruire automatiquement des filtres BPF malveillants
  • Générer les magic packets correspondants en quelques secondes
  • Identifier la présence d’implants BPF sur un réseau

📌 Type d’article

Publication de recherche technique à visée communautaire, présentant une méthodologie d’automatisation de l’analyse de malwares BPF et la mise à disposition d’un outil open-source.

🧠 TTPs et IOCs détectés

Acteurs de menace

TTP

  • T1205 — Traffic Signaling (Defense Evasion)
  • T1014 — Rootkit (Defense Evasion)
  • T1071.001 — Application Layer Protocol: Web Protocols (Command and Control)
  • T1059 — Command and Scripting Interpreter (Execution)

IOC

  • SHA256 : 82ed617816453eba2d755642e3efebfcbd19705ac626f6bc8ed238f4fc111bb0VT · MalwareBazaar

Malware / Outils

  • BPFDoor (backdoor)
  • filterforge (tool)

🟢 Indice de vérification factuelle : 79/100 (haute)

  • ✅ blog.cloudflare.com — source reconnue (Rösti community) (20pts)
  • ✅ 14640 chars — texte complet (fulltext extrait) (15pts)
  • ✅ 1 IOC(s) (6pts)
  • ✅ 1/1 IOC(s) confirmé(s) (MalwareBazaar, ThreatFox, VirusTotal) (8pts)
  • ✅ 4 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ✅ acteur(s) identifié(s) : Red Menshen (5pts)
  • ⬜ pas de CVE à vérifier (0pts)

IOCs confirmés externellement :

  • 82ed617816453eba… (sha256) → VT (31/76 détections)

🔗 Source originale : https://blog.cloudflare.com/from-bpf-to-packet/