Descoberta e escopo
Uma investigação de vários meses pela Rapid7 Labs expôs uma campanha de espionagem sofisticada e patrocinada pelo estado pelo ator de ameaça de nexo chinês Red Menshen, que incorporou algumas das células de sono digitais mais discretas já documentadas dentro da infraestrutura de telecomunicações global.
Publicado em 26 de março de 2026, os resultados revelam uma mudança deliberada de hacking oportunista para pré-posicionamento de longo prazo dentro das próprias redes de backbone que sustentam as comunicações nacionais e internacionais. Redes de telecomunicações carregam comunicações governamentais, autenticam identidades de assinantes, coordenam indústrias críticas e processam fluxos de sinalização através de fronteiras nacionais.
Os ambientes no núcleo dependem de protocolos especializados como SS7, Diameter e SCTP para gerenciar identidade de assinante, mobilidade e conectividade global, tornando-os valiosos para coleta de inteligência muito além do que uma violação de dados convencional permite.
O que mudou agora
No centro desta campanha está o BPFdoor, um backdoor de Linux stealth projetado para operar dentro do kernel do sistema operacional abusando da funcionalidade Berkeley Packet Filter (BPF). Ao contrário do malware convencional, o BPFdoor não abre portas de escuta ou gera beaconing visível de comando e controle.
Em vez disso, ele instala um filtro BPF personalizado dentro do kernel que inspeciona silenciosamente o tráfego de entrada, ativando-se apenas quando recebe um pacote mágico especialmente elaborado contendo uma sequência de bytes predefinida. Ferramentas como netstat, ss ou nmap não mostram nada incomum; o sistema parece inteiramente limpo.
A Rapid7 Labs identificou uma variante BPFdoor anteriormente não documentada que avança significativamente suas capacidades de stealth. Em vez de confiar em um pacote mágico detectável, a variante atualizada agora oculta gatilhos de comando dentro do tráfego HTTPS legítimo.
Impacto e alcance
O Red Menshen tem visado especificamente provedores de telecomunicações na Coreia do Sul, Hong Kong, Myanmar, Malásia, Egito e Oriente Médio, com risco colateral estendendo-se a redes governamentais que dependem dessas operadoras. O acesso persistente dentro de um núcleo de telecom pode expor identificadores de assinante, eventos de mobilidade, trocas de autenticação e metadados de comunicação.
Algumas amostras de BPFdoor imitam processos legítimos em servidores bare-metal HPE ProLiant, especificamente impersonando hpasmlited, um daemon pertencente ao HPE Agentless Management Service. Outras amostras spoofam componentes Docker e containerd, visando funções de núcleo 5G hospedadas no Kubernetes.
Medidas de mitigação recomendadas
A Rapid7 coordenou com CERTs nacionais e parceiros governamentais para notificar organizações afetadas. A firma lançou um script de varredura gratuito e de código aberto capaz de detectar variantes legadas e novas de BPFdoor para auxiliar na validação rápida de exposição.
Defensores são fortemente aconselhados a expandir a visibilidade para operações de nível de kernel, atividade de filtro BPF bruta e comportamento anômalo de alta porta em sistemas Linux — áreas onde a maioria das organizações atualmente carece de profundidade de monitoramento adequada.
O que os CISOs devem fazer imediatamente
Equipes de segurança devem implementar scripts de detecção fornecidos pela Rapid7 e monitorar atividades de kernel BPF. A visibilidade em tráfego HTTPS e ICMP é crítica para detectar gatilhos de comando ocultos.
Perguntas frequentes
Esta campanha afeta o Brasil? Embora o foco seja Ásia e Oriente Médio, a infraestrutura de telecomunicações global é interconectada. Operadoras brasileiras devem monitorar indicadores de comprometimento associados ao Red Menshen.
Qual é o risco para o Brasil? Provedores de telecomunicações e governos que dependem de infraestrutura de rede global devem revisar suas defesas de kernel Linux e monitorar tráfego de sinalização anômalo.