{"id":380,"date":"2026-03-26T19:05:46","date_gmt":"2026-03-26T19:05:46","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/03\/26\/red-menshen-vinculado-a-china-utiliza-sigilosos-implantes-de-puertas-bpf-para-espiar-a-traves-de-redes-de-telecomunicaciones-cyberdefensa-mx\/"},"modified":"2026-03-26T19:05:46","modified_gmt":"2026-03-26T19:05:46","slug":"red-menshen-vinculado-a-china-utiliza-sigilosos-implantes-de-puertas-bpf-para-espiar-a-traves-de-redes-de-telecomunicaciones-cyberdefensa-mx","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/03\/26\/red-menshen-vinculado-a-china-utiliza-sigilosos-implantes-de-puertas-bpf-para-espiar-a-traves-de-redes-de-telecomunicaciones-cyberdefensa-mx\/","title":{"rendered":"Red Menshen, vinculado a China, utiliza sigilosos implantes de puertas BPF para espiar a trav\u00e9s de redes de telecomunicaciones \u2013 CYBERDEFENSA.MX"},"content":{"rendered":"
\n

Una campa\u00f1a en curso y de largo plazo atribuida a un actor amenazante del nexo con China se ha incrustado en las redes de telecomunicaciones para realizar espionaje contra las redes gubernamentales.<\/p>\n

La actividad de posicionamiento estrat\u00e9gico, que implica implantar y mantener mecanismos de acceso sigiloso dentro de entornos cr\u00edticos, se ha atribuido a Hombre rojo<\/strong>un grupo de amenazas que tambi\u00e9n se rastrea como Earth Bluecrow, DecisiveArchitect y Red Dev 18. El grupo tiene un historial de atacar a proveedores de telecomunicaciones en Medio Oriente y Asia desde al menos 2021.<\/p>\n

Rapid7 describi\u00f3 los mecanismos de acceso encubierto como \u00abalgunas de las c\u00e9lulas durmientes digitales m\u00e1s sigilosas\u00bb jam\u00e1s encontradas en las redes de telecomunicaciones.<\/p>\n

La campa\u00f1a se caracteriza por el uso de implantes a nivel de kernel, puertas traseras pasivas, utilidades de recolecci\u00f3n de credenciales y marcos de comando multiplataforma, lo que brinda al actor de amenazas la capacidad de habitar persistentemente redes de inter\u00e9s. Una de las herramientas m\u00e1s reconocidas de su arsenal de malware es una puerta trasera de Linux llamada BPFDoor.<\/p>\n

\u00abA diferencia del malware convencional, BPFdoor no expone puertos de escucha ni mantiene canales de comando y control visibles\u00bb, Rapid7 Labs dicho<\/a> en un informe compartido con The Hacker News. \u00abEn cambio, abusa de la funcionalidad Berkeley Packet Filter (BPF) para inspeccionar el tr\u00e1fico de red directamente dentro del kernel, activ\u00e1ndose s\u00f3lo cuando recibe un paquete de activaci\u00f3n espec\u00edficamente dise\u00f1ado\u00bb.<\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

\u00abNo hay un oyente persistente ni una baliza obvia. El resultado es una trampilla oculta incrustada dentro del propio sistema operativo\u00bb.<\/p>\n

Las cadenas de ataques comienzan cuando el actor de la amenaza apunta a la infraestructura conectada a Internet y a los servicios de borde expuestos, como dispositivos VPN, firewalls y plataformas web asociadas con Ivanti, Cisco, Juniper Networks, Fortinet, VMware, Palo Alto Networks y Apache Struts, para obtener acceso inicial.<\/p>\n

Al lograr un punto de apoyo exitoso, los marcos de balizas compatibles con Linux, como CrossC2 se implementa para facilitar las actividades posteriores a la explotaci\u00f3n. Tambi\u00e9n se lanzan Sliver, TinyShell (un <\/a>puerta trasera Unix<\/a>), registradores de pulsaciones de teclas y utilidades de fuerza bruta para facilitar la recolecci\u00f3n de credenciales y el movimiento lateral.<\/p>\n

Sin embargo, BPFDoor es fundamental para las operaciones de Red Menshen. Presenta dos componentes distintos: uno es una puerta trasera pasiva implementada en el sistema Linux comprometido para inspeccionar el tr\u00e1fico entrante en busca de un paquete \u00abm\u00e1gico\u00bb predefinido instalando un filtro BPF y generando un shell remoto al recibir dicho paquete. La otra parte integral del marco es un controlador administrado por el atacante y es responsable de enviar los paquetes con formato especial.<\/p>\n

\"\"<\/a><\/div>\n

\u00abEl controlador tambi\u00e9n est\u00e1 dise\u00f1ado para operar dentro del propio entorno de la v\u00edctima\u00bb, explic\u00f3 Rapid7. \u00abEn este modo, puede hacerse pasar por procesos leg\u00edtimos del sistema y desencadenar implantes adicionales en los hosts internos enviando paquetes de activaci\u00f3n o abriendo un oyente local para recibir conexiones de shell, lo que permite efectivamente el movimiento lateral controlado entre sistemas comprometidos\u00bb.<\/p>\n

Es m\u00e1s, se ha descubierto que ciertos artefactos BPFDoor son compatibles con el protocolo de transmisi\u00f3n de control de flujo (SCTP<\/a>), permitiendo potencialmente al adversario monitorear protocolos nativos de telecomunicaciones y obtener visibilidad del comportamiento y la ubicaci\u00f3n de los suscriptores, e incluso rastrear individuos de inter\u00e9s.<\/p>\n

Estos aspectos demuestran que la funcionalidad de BPFdoor va m\u00e1s all\u00e1 de una puerta trasera sigilosa de Linux. \u00abBPFdoor funciona como una capa de acceso integrada dentro de la red troncal de telecomunicaciones, proporcionando visibilidad silenciosa y a largo plazo de las operaciones cr\u00edticas de la red\u00bb, a\u00f1adi\u00f3 el proveedor de seguridad.<\/p>\n

No termina ah\u00ed. Una variante de BPFdoor previamente no documentada incorpora cambios arquitect\u00f3nicos para hacerlo m\u00e1s evasivo y pasar desapercibido durante per\u00edodos prolongados en entornos empresariales y de telecomunicaciones modernos. Estos incluyen ocultar el paquete desencadenante dentro del tr\u00e1fico HTTPS aparentemente leg\u00edtimo e introducir un mecanismo de an\u00e1lisis novedoso que garantiza que la cadena \u00ab9999\u00bb aparezca en un desplazamiento de bytes fijo dentro de la solicitud.<\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

Este camuflaje, a su vez, permite que el paquete m\u00e1gico permanezca oculto dentro del tr\u00e1fico HTTPS y evite provocar cambios en la posici\u00f3n de los datos dentro de la solicitud, y permite que el implante siempre busque el marcador en un desplazamiento de bytes espec\u00edfico y, si est\u00e1 presente, lo interprete como el comando de activaci\u00f3n.<\/p>\n

La muestra reci\u00e9n descubierta tambi\u00e9n presenta un \u00abmecanismo de comunicaci\u00f3n liviano\u00bb que utiliza el Protocolo de mensajes de control de Internet (ICMP) para interactuar entre dos hosts infectados.<\/p>\n

\u00abEstos hallazgos reflejan una evoluci\u00f3n m\u00e1s amplia en el arte del adversario\u00bb, dijo Rapid7. \u00abLos atacantes est\u00e1n incorporando implantes m\u00e1s profundamente en la pila inform\u00e1tica, apuntando a los n\u00facleos del sistema operativo y las plataformas de infraestructura en lugar de depender \u00fanicamente del malware del espacio del usuario\u00bb.<\/p>\n

\u00abLos entornos de telecomunicaciones, que combinan sistemas b\u00e1sicos, capas de virtualizaci\u00f3n, dispositivos de alto rendimiento y componentes centrales 4G\/5G en contenedores, proporcionan un terreno ideal para una persistencia silenciosa y a largo plazo. Al combinarse con servicios de hardware leg\u00edtimos y tiempos de ejecuci\u00f3n de contenedores, los implantes pueden evadir el monitoreo tradicional de puntos finales y permanecer sin ser detectados durante per\u00edodos prolongados\u00bb.<\/p>\n<\/div>\n","protected":false},"excerpt":{"rendered":"

Una campa\u00f1a en curso y de largo plazo atribuida a un actor amenazante del nexo con China se ha incrustado en las redes de telecomunicaciones para realizar espionaje contra las redes gubernamentales. La actividad de posicionamiento estrat\u00e9gico, que implica implantar y mantener mecanismos de acceso sigiloso dentro de entornos cr\u00edticos, se ha atribuido a Hombre […]<\/p>\n","protected":false},"author":1,"featured_media":108,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[25,5],"tags":[1326,200,24,690,570,1323,36,1325,435,153,1324,549,76,216,242],"class_list":["post-380","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-noticias","category-trending","tag-bpf","tag-china","tag-cyberdefensa-mx","tag-espiar","tag-implantes","tag-menshen","tag-para","tag-puertas","tag-red","tag-redes","tag-sigilosos","tag-telecomunicaciones","tag-traves","tag-utiliza","tag-vinculado"],"_links":{"self":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/380","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/comments?post=380"}],"version-history":[{"count":0,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/380\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media\/108"}],"wp:attachment":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media?parent=380"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/categories?post=380"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/tags?post=380"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}