BPFdoor è un malware di tipo backdoor scoperto di recente che ha una particolarità sconcertante: colpisce i sistemi Linux e Solaris da oltre 5 anni senza essere mai stato individuato in precedenza. Consente agli hacker di connettersi da remoto a una shell di Linux e ottenere il controllo completo del sistema bersaglio. Si tratta di un malware ideale per condurre attacchi continuativi e per lo spionaggio industriale, dato che non richiede l’apertura di porte, è immune ai firewall ed è in grado di rispondere ai comandi provenienti da qualsiasi indirizzo IP.

Sfruttando una funzione di sniffing che opera nell’interfaccia al livello di rete, il malware non è soggetto alle regole del firewall e resta in “ascolto” di pacchetti dalle porte ICMP, UDP e TCP. Tramite il rilevamento di specifici pacchetti, dotati di valori ben precisi e, nel caso di UDP/TDP, di una password, la backdoor si attiva eseguendo uno dei comandi supportati, ad esempio attivando una shell inversa.

Il malware si è diffuso in varie aree geografiche, come USA, Corea del Sud, Hong Kong, Turchia, India, Vietnam e Myanmar, inoltre sarebbero stati rilevati ben 11 server di Speedtest infettati da BPFdoor. Non ci sono ancora connessioni chiare con uno specifico gruppo hacker, tuttavia, i ricercatori di PricewaterhouseCoopers (PwC) hanno riscontrato la presenza di BFDoor durante un intervento di emergenza. A quanto pare, Red Menshen (noto in precedenza come Red Dev 18), un gruppo hacker di origine cinese, avrebbe utilizzato questo malware per attaccare alcuni provider del settore delle telecomunicazioni in Medio Oriente e Asia, insieme a enti governativi, del settore dell’istruzione e della logistica.