Rootkits avançados BPFDoor e Symbiote estão mirando servidores baseados em Linux e aparelhos de rede explorando filtros BPF e eBPF para ocultar tráfego de comando e controle. Em 2025, pesquisadores detectaram 151 novas amostras de BPFDoor e três de Symbiote, destacando a evolução contínua dessas ameaças. Essas famílias de malware permitem acesso remoto furtivo, evadindo firewalls tradicionais e ferramentas de detecção.
BPFDoor e Symbiote, ambos originados em 2021, representam ameaças sofisticadas ao Linux que utilizam a tecnologia extended Berkeley Packet Filter (eBPF), introduzida no kernel Linux em 2015 para inspeção de pacotes em sandbox e modificação de chamadas de sistema. Esses rootkits anexam filtros no nível do kernel ou raw-socket, processando pacotes maliciosos antes das regras padrão de firewall e permitindo comando e controle (C2) encoberto em portas altas não padrão. Essa abordagem minimiza pegadas de rede e contorna firewalls básicos e sistemas de detecção de intrusão legados (IDS) focados em serviços bem conhecidos.
BPFDoor emprega filtros BPF clássicos (cBPF) em sockets raw ou de pacotes para monitorar tráfego e responder a "pacotes mágicos" especialmente criados. Variantes anteriores visavam pacotes IPv4 via ICMP, UDP ou TCP, realizando autenticação antes de abrir um shell reverso oculto sem portas de escuta visíveis em ferramentas como netstat ou lsof. Amostras mais novas de 2025 estendem suporte a EtherTypes IPv6, permitindo operação em ambientes dual-stack onde o monitoramento IPv6 permanece imaturo. Essas variantes também filtram tráfego DNS na porta 53 sobre IPv4 e IPv6, disfarçando-se de consultas legítimas para se misturar à atividade de rede rotineira. O filtro descarta pacotes não correspondentes em nível baixo, limitando detecção por ferramentas baseadas em assinaturas ou anomalias até a chegada de gatilhos. Recursos adicionais incluem mascaramento de processos, limpeza de ambiente e manipulação seletiva de firewalls, estabelecendo BPFDoor como uma ferramenta para acesso furtivo de longo prazo em vez de bots barulhentos.
Symbiote abusa do eBPF para injetar lógica em processos e interceptar atividade de rede, anexando filtros a sockets que restringem tráfego a TCP, UDP e SCTP em portas altas predefinidas. Sua variante de julho de 2025 suporta IPv4 e IPv6 nesses protocolos em portas como 54778, 58870, 59666, 54879, 57987, 64322, 45677 e 63227, facilitando hopping de portas para evadir bloqueios. Essa flexibilidade explora a tendência de ferramentas de segurança ignorarem portas altas desconhecidas e tráfego UDP, tratando-o como ruído benigno.
O bytecode eBPF, analisado com ferramentas como Radare2, revela rotinas de inspeção que identificam pacotes de comando via portas e protocolos específicos, passando-os silenciosamente enquanto descartam outros. Desafios de detecção persistem devido à operação em nível de kernel abaixo da visibilidade do userspace. Defensores devem monitorar uso de eBPF e BPF, inspecionar sockets raw e AF_PACKET e estender IDS/IPS a portas altas e fluxos IPv6. As assinaturas de antivírus e IPS da Fortinet agora detectam esses via monitoramento de shell reverso e padrões de atividade de botnet, sublinhando a mudança para malware especializado patrocinado por estados para acesso a infraestrutura crítica.