Les rootkits avancés BPFDoor et Symbiote ciblent les serveurs et appareils réseau basés sur Linux en exploitant les filtres BPF et eBPF pour masquer le trafic de commande et de contrôle. En 2025, les chercheurs ont détecté 151 nouveaux échantillons BPFDoor et trois échantillons Symbiote, soulignant l'évolution continue de ces menaces. Ces familles de malwares permettent un accès à distance furtif, contournant les pare-feu traditionnels et les outils de détection.
BPFDoor et Symbiote, tous deux apparus en 2021, représentent des menaces sophistiquées pour Linux qui exploitent la technologie extended Berkeley Packet Filter (eBPF), introduite dans le noyau Linux en 2015 pour l'inspection de paquets en sandbox et la modification d'appels système. Ces rootkits attachent des filtres au niveau du noyau ou des sockets raw, traitant les paquets malveillants avant les règles de pare-feu standard et permettant un commandement et contrôle (C2) covert sur des ports hauts non standards. Cette approche minimise les empreintes réseau et contourne les pare-feu basiques et les systèmes de détection d'intrusion (IDS) legacy axés sur des services bien connus.
BPFDoor utilise des filtres BPF classiques (cBPF) sur des sockets raw ou paquets pour surveiller le trafic et répondre à des "paquets magiques" spécialement conçus. Les variantes antérieures ciblaient les paquets IPv4 via ICMP, UDP ou TCP, effectuant une authentification avant d'ouvrir un shell inversé caché sans ports d'écoute visibles dans des outils comme netstat ou lsof. Les échantillons 2025 plus récents étendent le support aux EtherTypes IPv6, permettant un fonctionnement dans des environnements dual-stack où la surveillance IPv6 reste immature. Ces variantes filtrent également le trafic DNS sur le port 53 via IPv4 et IPv6, se faisant passer pour des requêtes légitimes afin de se fondre dans l'activité réseau routinière. Le filtre jette les paquets non correspondants à un niveau bas, limitant la détection par des outils basés sur signatures ou anomalies jusqu'à l'arrivée des déclencheurs. Des fonctionnalités supplémentaires incluent le masquage de processus, l'effacement d'environnement et la manipulation sélective de pare-feu, positionnant BPFDoor comme un outil d'accès furtif à long terme plutôt que des bots bruyants.
Symbiote abuse d'eBPF pour injecter de la logique dans les processus et intercepter l'activité réseau, attachant des filtres à des sockets qui restreignent le trafic à TCP, UDP et SCTP sur des ports hauts prédéfinis. Sa variante de juillet 2025 supporte IPv4 et IPv6 sur ces protocoles sur des ports tels que 54778, 58870, 59666, 54879, 57987, 64322, 45677 et 63227, facilitant le hopping de ports pour éviter les blocages. Cette flexibilité exploite la tendance des outils de sécurité à ignorer les ports hauts inconnus et le trafic UDP, le traitant comme du bruit bénin.
Le bytecode eBPF, analysé avec des outils comme Radare2, révèle des routines d'inspection qui identifient les paquets de commande via des ports et protocoles spécifiques, les transmettant silencieusement tout en jetant les autres. Les défis de détection persistent en raison du fonctionnement au niveau noyau en dessous de la visibilité userspace. Les défenseurs doivent surveiller l'usage eBPF et BPF, inspecter les sockets raw et AF_PACKET, et étendre les IDS/IPS aux ports hauts et flux IPv6. Les signatures antivirus et IPS de Fortinet détectent désormais ces menaces via la surveillance de shells inversés et les motifs d'activité botnet, soulignant le virage vers des malwares spécialisés sponsorisés par des États pour l'accès aux infrastructures critiques.