O malware foi documentado pela primeira vez em maio de 2022, ele foi associado a um agente de ameaças chinês chamado Red Menshen, conhecido por destacar provedores de telecomunicações em Oriente Médio e Ásia desde pelo menos 2021.

O malware é especificamente voltado para o estabelecimento de acesso remoto persistente a ambientes-alvo comprometidos por longos períodos de tempo, com evidências apontando para a equipe de hackers operando o backdoor sem ser detectado por anos.

Uma das principais características que tornam a nova versão do BPFDoor ainda mais evasiva é a remoção de muitos indicadores codificados e, em vez disso, a incorporação de uma biblioteca estática para criptografia (libtomcrypt) e um shell reverso para comunicação de comando e controle (C2).

O fato de o BPFDoor ter permanecido oculto por um longo período mostra sua sofisticação, com os agentes de ameaças desenvolvendo cada vez mais malware direcionado aos sistemas Linux devido à sua prevalência em ambientes corporativos e de nuvem.

O desenvolvimento ocorre quando o Google anunciou uma nova estrutura fuzzing estendida do Berkeley Packet Filter ( eBPF ) chamada Buzzer para ajudar a proteger o kernel do Linux e garantir que os programas em sandbox executados em um contexto privilegiado sejam válidos e seguros.

A gigante da tecnologia disse ainda que o método de teste levou à descoberta de uma falha de segurança (CVE-2023-2163) que poderia ser explorada para obter leitura e gravação arbitrárias da memória do kernel.