高度なルートキットBPFDoorとSymbioteが、BPFとeBPFフィルターを悪用してコマンドアンドコントロールトラフィックを隠蔽し、Linuxベースのサーバーとネットワーク機器を標的にしています。2025年に研究者らはBPFDoorの新規サンプル151件とSymbioteのサンプル3件を発見し、これらの脅威の継続的な進化を強調しています。これらのマルウェアファミリは、従来のファイアウォールや検知ツールを回避するステルス性の高いリモートアクセスを可能にします。
2021年に起源を持つBPFDoorとSymbioteは、2015年にLinuxカーネルでサンドボックス化されたパケット検査とシステムコール変更のために導入された拡張Berkeley Packet Filter(eBPF)技術を活用した洗練されたLinux脅威です。これらのルートキットは、カーネルまたはrawソケットレベルでフィルターをアタッチし、標準的なファイアウォールルール前に悪意あるパケットを処理し、非標準の高ポート上で隠密なコマンドアンドコントロール(C2)を可能にします。この手法はネットワークフットプリントを最小化し、よく知られたサービスに焦点を当てた基本的なファイアウォールとレガシー侵入検知システム(IDS)を回避します。
BPFDoorは、rawまたはパケットソケット上でクラシックBPF(cBPF)フィルターを使用し、トラフィックを監視し、特別に作成された「マジックパケット」に応答します。初期バリアントはICMP、UDP、TCP経由のIPv4パケットを対象とし、netstatやlsofなどのツールで可視化されない隠れたリバースシェルを認証後に開きます。2025年の新規サンプルはIPv6 EtherTypeをサポートし、IPv6監視が未熟なデュアルスタック環境での動作を可能にします。これらのバリアントはIPv4およびIPv6上のポート53のDNSトラフィックもフィルタリングし、正当なクエリを装って日常的なネットワーク活動に溶け込みます。フィルターは非一致パケットを低レベルで破棄し、トリガーが到着するまでシグネチャベースや異常ベースのツールによる検知を制限します。追加機能としてプロセス偽装、環境消去、選択的ファイアウォール操作があり、BPFDoorを騒々しいボットではなく長期ステルスアクセスツールとして位置づけています。
SymbioteはeBPFを悪用してプロセスにロジックを注入しネットワーク活動を傍受し、TCP、UDP、SCTPに限定した事前定義の高ポート上のソケットにフィルターをアタッチします。2025年7月のバリアントはこれらのプロトコル上でIPv4およびIPv6をポート54778、58870、59666、54879、57987、64322、45677、63227などでサポートし、ブロック回避のためのポートホッピングを容易にします。この柔軟性は、セキュリティツールが未知の高ポートとUDPトラフィックを無害なノイズとして見過ごす傾向を悪用します。
Radare2などのツールで分析されたeBPFバイトコードは、特定ポートとプロトコルでコマンドパケットを識別し、他のパケットを静かにドロップしながら通過させる検査ルーチンを明らかにします。ユーザースペースの視認性以下のカーネルレベル動作により検知課題が残ります。防御者はeBPFとBPFの使用を監視し、rawおよびAF_PACKETソケットを検査し、IDS/IPSを高ポートとIPv6フローに拡張する必要があります。FortinetのアンチウイルスとIPSシグネチャはリバースシェル監視とボットネット活動パターンでこれらを検知し、重要インフラアクセス向けの専門的・国家支援マルウェアへのシフトを強調しています。