Rootkit canggih BPFDoor dan Symbiote menargetkan server berbasis Linux dan perangkat jaringan dengan mengeksploitasi filter BPF dan eBPF untuk menyembunyikan lalu lintas command-and-control. Pada 2025, peneliti mendeteksi 151 sampel BPFDoor baru dan tiga sampel Symbiote, menyoroti evolusi berkelanjutan ancaman ini. Keluarga malware ini memungkinkan akses jarak jauh yang tersembunyi, menghindari firewall tradisional dan alat deteksi.
BPFDoor dan Symbiote, keduanya berasal dari 2021, mewakili ancaman Linux canggih yang memanfaatkan teknologi extended Berkeley Packet Filter (eBPF), yang diperkenalkan di kernel Linux pada 2015 untuk inspeksi paket sandbox dan modifikasi panggilan sistem. Rootkit ini melampirkan filter pada tingkat kernel atau raw-socket, memproses paket berbahaya sebelum aturan firewall standar dan memungkinkan command-and-control (C2) terselubung melalui port tinggi non-standar. Pendekatan ini meminimalkan jejak jaringan dan melewati firewall dasar serta sistem deteksi intrusi (IDS) lama yang fokus pada layanan terkenal.
BPFDoor menggunakan filter BPF klasik (cBPF) pada socket raw atau paket untuk memantau lalu lintas dan merespons "magic packet" yang dibuat khusus. Varian awal menargetkan paket IPv4 melalui ICMP, UDP, atau TCP, melakukan autentikasi sebelum membuka reverse shell tersembunyi tanpa port mendengarkan yang terlihat di alat seperti netstat atau lsof. Sampel 2025 baru memperluas dukungan ke IPv6 EtherTypes, memungkinkan operasi di lingkungan dual-stack di mana pemantauan IPv6 masih belum matang. Varian ini juga memfilter lalu lintas DNS pada port 53 melalui IPv4 dan IPv6, menyamar sebagai kueri sah untuk menyatu dengan aktivitas jaringan rutin. Filter membuang paket non-pencocok pada tingkat rendah, membatasi deteksi oleh alat berbasis tanda tangan atau anomali hingga pemicu tiba. Fitur tambahan mencakup penyamaran proses, penghapusan lingkungan, dan manipulasi firewall selektif, menjadikan BPFDoor sebagai alat untuk akses terselubung jangka panjang daripada bot berisik.
Symbiote menyalahgunakan eBPF untuk menyuntikkan logika ke proses dan mencegat aktivitas jaringan, melampirkan filter ke socket yang membatasi lalu lintas ke TCP, UDP, dan SCTP pada port tinggi yang telah ditentukan sebelumnya. Varian Juli 2025 mendukung IPv4 dan IPv6 di protokol ini pada port seperti 54778, 58870, 59666, 54879, 57987, 64322, 45677, dan 63227, memfasilitasi port hopping untuk menghindari pemblokiran. Fleksibilitas ini mengeksploitasi kecenderungan alat keamanan untuk mengabaikan port tinggi tak dikenal dan lalu lintas UDP, memperlakukannya sebagai noise jinak.
Bytecode eBPF, dianalisis dengan alat seperti Radare2, mengungkap rutinitas inspeksi yang mengidentifikasi paket perintah melalui port dan protokol spesifik, meneruskannya secara diam-diam sambil membuang yang lain. Tantangan deteksi tetap ada karena operasi tingkat kernel di bawah visibilitas userspace. Pembela harus memantau penggunaan eBPF dan BPF, memeriksa socket raw dan AF_PACKET, serta memperluas IDS/IPS ke port tinggi dan aliran IPv6. Tanda tangan antivirus dan IPS Fortinet sekarang mendeteksi ini melalui pemantauan reverse shell dan pola aktivitas botnet, menekankan pergeseran ke malware khusus bersponsor negara untuk akses infrastruktur kritis.