吳明宜Rapid7 研究人員發現,中國一個國家資助的駭客組織正在全球電信骨幹基礎架構部署惡意程式,以便進行持續性滲透。 Rapid7 研究人員經過數個月的追蹤發現,名為 Red Menshen 的駭客組織在電信骨幹網路中植入隱密的祕密細胞 (sleeper cell),祕密細胞主要是長期潛伏在敵方陣營中作為內應,以便協助間諜活動,目的在駭入政府網路。
本文目錄
整合多種攻擊工具與開原框架
研究人員觀察到攻擊者植入的程式,包括核心植入程式 (implant) 、被動式後門程式、憑證竊取工具及跨平台指令框架,這些工具整合起來形成滲透性存取工具,不只是要駭入電信網路,也要長期定殖在其中。
電信網路經常由邊緣服務和面向網際網路的基礎架構被入侵,可能是利用失竊或騙來的合法用戶帳號憑證,或是軟體漏洞作為駭入手法。受影響的設備與系統包含 Ivanti Connect Secure VPN 裝置、 Cisco IOS 和 JunOS 網路裝置、 Fortinet 防火牆、 VMware ESXi 主機、 Palo Alto 甚至 Web 平台如 Apache Struts 等。
其次,駭客部署 Linux 框架,像是中國駭客常用來發動攻擊、執行指令和橫向移動的 CrossC2 。攻擊者經常使用開原碼被動後門框架如 TinyShell,或是 SSH 暴力破解工具及鍵盤側錄程式,有時也使用專為電信環境設計、內建憑證清單的暴力破解工具。
隱密後門程式 BPFdoor 成攻擊核心
這波攻擊的核心是一個被動式 Linux 後門程式,名為 BPFdoor 。 BPFdoor 於 2022 年首次被發現,它不像傳統惡意程式尋找監聽的通訊埠或維持 (Command and Control, C2) 通道,而是利用 (Berkeley Packet Filter, BPF) 功能,衍生成 bind shell 或 reverse shell 直接監看核心內的網路流量,只在接到特定觸發封包時才會動作,此方法可大幅提高行動隱密性。
研究人員相信,攻擊者的目標不是特定伺服器,而是現代電信網路的底層平台,例如裸機系統、代管容器化網路功能 (containerized networks function) 的雲端原生 Kubernetes 、協調訂戶身份的信令 (signaling) 協定,以及通訊流。因此他們推斷這是一起高階間諜活動,目標可能包括政府網路。
國家級高階間諜活動威脅關鍵設施
目前研究人員還無法確定 BPFdoor 來源為何,但從攻擊者用來加密控制指令的演算法來看,與中國國家駭客使用的 RedXOR 和 PWNIX 非常類似。在此之前,美國研究人員已多次發現中國駭客攻擊美國關鍵基礎架構。 2024 年,CISA 證實中國駭客 Volt Typhoon 已潛伏在多家美國組織網路中。而 2025 年,美國政府亦證實美國多家電信業者遭中國駭客組織 Salt Typhoon 駭入。