27 de marzo de 2026

Red Menshen usa BPFDoor para espiar redes de telecomunicaciones

Red Menshen usa BPFDoor para espiar redes de telecomunicaciones

Un grupo de hackers vinculado a China, conocido como Red Menshen, ha estado utilizando implantes BPFDoor para espiar redes de telecomunicaciones. Imagina esto como instalar un "topo" digital en la infraestructura de internet para robar información sensible de gobiernos y empresas. Lo descubrió Rapid7, una empresa de ciberseguridad, y es preocupante porque muestra cómo los atacantes se están volviendo más sofisticados para esconderse en las redes.

Qué es BPFDoor y cómo funciona

BPFDoor es un tipo de backdoor (puerta trasera, un programa que permite acceso no autorizado a un sistema) para Linux. A diferencia de otros programas maliciosos (malware), BPFDoor no abre puertos ni crea canales de comunicación visibles. En cambio, usa una función llamada Berkeley Packet Filter (BPF) para examinar el tráfico de red directamente en el núcleo del sistema operativo. Solo se activa cuando recibe un paquete de datos específico, como una "palabra clave" secreta.

  • El atacante se infiltra en la red aprovechando vulnerabilidades en servicios expuestos a internet, como VPNs, firewalls (cortafuegos) y plataformas web de empresas como Ivanti, Cisco o Fortinet.
  • Una vez dentro, instalan malware como CrossC2, Sliver o TinyShell para moverse lateralmente por la red y obtener credenciales de acceso.
  • BPFDoor se compone de dos partes: un implante pasivo que espera el paquete mágico y un controlador que envía ese paquete para activar el acceso remoto.
  • La nueva variante de BPFDoor esconde el paquete de activación dentro del tráfico HTTPS, haciéndolo más difícil de detectar. También usa ICMP (Internet Control Message Protocol) para comunicarse entre equipos infectados.

A quién afecta

Este grupo lleva atacando proveedores de telecomunicaciones en Oriente Medio y Asia desde al menos 2021. El objetivo principal parece ser el espionaje de redes gubernamentales. BPFDoor puede interceptar protocolos de telecomunicaciones, obteniendo visibilidad sobre el comportamiento y la ubicación de los usuarios, incluso rastreando a individuos específicos.

Qué significa esto para ti

Si eres usuario, esto implica que tus datos podrían estar en riesgo si tu proveedor de telecomunicaciones ha sido comprometido. Para las empresas, especialmente las del sector de telecomunicaciones, esto significa que deben reforzar su seguridad, buscando implantes en el núcleo de sus sistemas y monitorizando el tráfico de red en busca de actividad sospechosa. La detección y prevención de este tipo de ataques requiere una vigilancia constante y el uso de herramientas de seguridad avanzadas.

Fuente: https://www.rapid7.com/blog/post/tr-bpfdoor-telecom-networks-sleeper-cells-threat-research-report/
← Anterior Vulnerabilidades en LangChain y LangGrap...
Siguiente → Falla en extensión de Claude permitía in...
Escrito por:
Luis Carreón
📰 Otras noticias del día
Vulnerabilidades en LangChain y LangGraph exponen datos sensibles en sistemas de IA
Falla en extensión de Claude permitía inyección de código con solo visitar una web
Advierten sobre el resurgimiento de 'Coruna', el kit de ataque a iOS que ahora se usa de forma masiva
📧 Suscríbete

Recibe las últimas noticias de ciberseguridad directamente en tu email.

CiberRadar
← Volver al inicio