روتكيتات متقدمة BPFDoor وSymbiote تستهدف الخوادم والأجهزة الشبكية المبنية على Linux من خلال استغلال مرشحات BPF وeBPF لإخفاء حركة المرور للأوامر والتحكم. في عام 2025، اكتشف الباحثون 151 عينة جديدة من BPFDoor وثلاث عينات من Symbiote، مما يبرز التطور المستمر لهذه التهديدات. تمكن هذه العائلات من البرمجيات الضارة من الوصول عن بعد خفي، متجاوزة الجدران النارية التقليدية وأدوات الكشف.
BPFDoor وSymbiote، اللذان نشآ في عام 2021، يمثلان تهديدات متقدمة لـLinux تستفيدان من تقنية مرشح حزم بركلي الممتد (eBPF)، التي تم إدخالها في نواة Linux في عام 2015 لفحص الحزم في بيئات معزولة وتعديل استدعاءات النظام. ترتبط هذه الروتكيتات بمرشحات على مستوى النواة أو منافذ خام، معالجة الحزم الضارة قبل قواعد الجدار الناري القياسية وتمكين التحكم والأوامر السرية (C2) عبر منافذ عالية غير قياسية. يقلل هذا النهج من آثار الشبكة ويتجاوز الجدران النارية الأساسية وأنظمة كشف الاقتحام القديمة (IDS) المركزة على الخدمات المعروفة جيدًا.
يستخدم BPFDoor مرشحات BPF كلاسيكية (cBPF) على منافذ خام أو حزم لمراقبة الحركة والرد على "حزم سحرية" مصممة خصيصًا. استهدفت الإصدارات السابقة حزم IPv4 عبر ICMP أو UDP أو TCP، محققة مصادقة قبل فتح قشرة عكسية مخفية دون منافذ استماع مرئية في أدوات مثل netstat أو lsof. تمدد عينات 2025 الجديدة الدعم إلى أنواع إيثر IPv6، مما يمكن التشغيل في بيئات مزدوجة الحزم حيث يظل مراقبة IPv6 غير ناضجة. كما تفحص هذه الإصدارات حركة DNS على المنفذ 53 عبر IPv4 وIPv6، متخفية كاستعلامات شرعية للاندماج في نشاط الشبكة الروتيني. يتخلص المرشح من الحزم غير المتطابقة على مستوى منخفض، مما يحد من الكشف بواسطة أدوات تعتمد على التوقيعات أو الشذوذ حتى وصول المحفزات. تشمل الميزات الإضافية انتحال الهويات للعمليات ومسح البيئة وتعديل الجدران النارية الانتقائي، مما يجعل BPFDoor أداة للوصول الخفي طويل الأمد بدلاً من البوتات الصاخبة.
يسيء Symbiote استخدام eBPF لإدخال المنطق في العمليات واعتراض نشاط الشبكة، مرفقًا مرشحات بمنافذ تقيد الحركة إلى TCP وUDP وSCTP على منافذ عالية محددة مسبقًا. تدعم إصدارته في يوليو 2025 IPv4 وIPv6 عبر هذه البروتوكولات على منافذ مثل 54778 و58870 و59666 و54879 و57987 و64322 و45677 و63227، مما يسهل القفز بين المنافذ لتجنب الحظر. تستغل هذه المرونة ميل أدوات الأمان إلى تجاهل المنافذ العالية المجهولة وحركة UDP، معالجتها كنويز غير ضار.
يكشف البايت كود eBPF، الذي تم تحليله بأدوات مثل Radare2، عن روتينات فحص تحدد حزم الأوامر عبر منافذ وبروتوكولات محددة، مرورها بصمت بينما تتخلص من الآخرين. تستمر تحديات الكشف بسبب التشغيل على مستوى النواة أسفل رؤية مساحة المستخدم. يجب على المدافعين مراقبة استخدام eBPF وBPF، وفحص المنافذ الخام وAF_PACKET، وتوسيع IDS/IPS إلى المنافذ العالية وتدفقات IPv6. الآن تكتشف تواقيع مضاد الفيروسات وIPS من Fortinet هذه عبر مراقبة القشرة العكسية وأنماط نشاط الشبكة الخبيثة، مما يؤكد التحول نحو برمجيات ضارة متخصصة برعاية الدول للوصول إلى البنى التحتية الحرجة.