Los rootkits avanzados BPFDoor y Symbiote están dirigiendo servidores basados en Linux y dispositivos de red mediante la explotación de filtros BPF y eBPF para ocultar el tráfico de comando y control. En 2025, investigadores detectaron 151 nuevas muestras de BPFDoor y tres de Symbiote, lo que resalta la evolución continua de estas amenazas. Estas familias de malware permiten un acceso remoto sigiloso, evadiendo firewalls tradicionales y herramientas de detección.
BPFDoor y Symbiote, ambos originados en 2021, representan amenazas sofisticadas para Linux que aprovechan la tecnología de filtro de paquetes extendido de Berkeley (eBPF), introducida en el kernel de Linux en 2015 para la inspección de paquetes en entornos sandbox y la modificación de llamadas al sistema. Estos rootkits adjuntan filtros a nivel de kernel o sockets raw, procesando paquetes maliciosos antes de las reglas estándar de firewall y permitiendo un comando y control (C2) encubierto sobre puertos altos no estándar. Este enfoque minimiza las huellas de red y elude firewalls básicos y sistemas de detección de intrusiones (IDS) heredados centrados en servicios bien conocidos.
BPFDoor emplea filtros BPF clásicos (cBPF) en sockets raw o de paquetes para monitorear el tráfico y responder a "paquetes mágicos" especialmente diseñados. Las variantes anteriores apuntaban a paquetes IPv4 a través de ICMP, UDP o TCP, realizando autenticación antes de abrir un shell inverso oculto sin puertos de escucha visibles en herramientas como netstat o lsof. Las muestras más nuevas de 2025 extienden el soporte a EtherTypes de IPv6, permitiendo operaciones en entornos de doble pila donde el monitoreo de IPv6 sigue siendo inmaduro. Estas variantes también filtran el tráfico DNS en el puerto 53 sobre IPv4 e IPv6, haciéndose pasar por consultas legítimas para mezclarse en la actividad de red rutinaria. El filtro descarta paquetes no coincidentes a bajo nivel, limitando la detección por herramientas basadas en firmas o anomalías hasta que lleguen los desencadenantes. Características adicionales incluyen el disfraz de procesos, la eliminación de entornos y la manipulación selectiva de firewalls, estableciendo a BPFDoor como una herramienta para acceso sigiloso a largo plazo en lugar de bots ruidosos.
Symbiote abusa de eBPF para inyectar lógica en procesos e interceptar actividad de red, adjuntando filtros a sockets que restringen el tráfico a TCP, UDP y SCTP en puertos altos predefinidos. Su variante de julio de 2025 soporta IPv4 e IPv6 en estos protocolos en puertos como 54778, 58870, 59666, 54879, 57987, 64322, 45677 y 63227, facilitando el salto de puertos para evadir bloqueos. Esta flexibilidad explota la tendencia de las herramientas de seguridad a pasar por alto puertos altos desconocidos y tráfico UDP, tratándolo como ruido benigno.
El bytecode eBPF, analizado con herramientas como Radare2, revela rutinas de inspección que identifican paquetes de comando a través de puertos y protocolos específicos, pasándolos silenciosamente mientras descartan otros. Los desafíos de detección persisten debido a la operación a nivel de kernel por debajo de la visibilidad del espacio de usuario. Los defensores deben monitorear el uso de eBPF y BPF, inspeccionar sockets raw y AF_PACKET, y extender IDS/IPS a puertos altos y flujos IPv6. Las firmas de antivirus e IPS de Fortinet ahora detectan estos mediante el monitoreo de shells inversos y patrones de actividad de botnet, subrayando el cambio hacia malware especializado y patrocinado por estados para el acceso a infraestructuras críticas.