Avancerade rootkits BPFDoor och Symbiote riktar in sig på Linux-baserade servrar och nätverksenheter genom att utnyttja BPF- och eBPF-filter för att dölja kommandon- och kontrolltrafik. År 2025 upptäckte forskare 151 nya BPFDoor-prover och tre Symbiote-prover, vilket belyser den pågående utvecklingen av dessa hot. Dessa malware-familjer möjliggör diskret fjärråtkomst och kringgår traditionella brandväggar och detekteringsverktyg.
BPFDoor och Symbiote, båda uppkomna 2021, utgör sofistikerade Linux-hot som utnyttjar extended Berkeley Packet Filter (eBPF)-teknik, introducerad i Linuxkärnan 2015 för sandboxad paketinspektion och systemanropsmodifiering. Dessa rootkits fäster filter på kärn- eller raw-socket-nivå, bearbetar skadliga paket före standardbrandväggsregler och möjliggör hemlig kommandon- och kontroll (C2) över icke-standard höga portar. Detta tillvägagångssätt minimerar nätverksfottspår och kringgår grundläggande brandväggar och äldre intrångsdetekteringssystem (IDS) fokuserade på välkända tjänster.
BPFDoor använder klassiska BPF (cBPF)-filter på raw- eller paket-sockets för att övervaka trafik och svara på speciellt skapade "magiska paket". Tidigare varianter riktade sig mot IPv4-paket via ICMP, UDP eller TCP, utförde autentisering före öppning av dold revers shell utan synliga lyssningsportar i verktyg som netstat eller lsof. Nyare 2025-prover utökar stödet till IPv6 EtherTypes, vilket möjliggör drift i dual-stack-miljöer där IPv6-övervakning är omogen. Dessa varianter filtrerar även DNS-trafik på port 53 över både IPv4 och IPv6, maskerar som legitima förfrågningar för att smälta in i rutinmässig nätverkstrafik. Filtren kasserar icke-matchande paket på låg nivå, begränsar detektion av signatur- eller anomalibaserade verktyg tills triggar anländer. Ytterligare funktioner inkluderar processmaskering, miljö rensning och selektiv brandväggsmanipulation, vilket etablerar BPFDoor som verktyg för långsiktig diskret åtkomst snarare än högljudda bottar.
Symbiote missbrukar eBPF för att injicera logik i processer och avlyssna nätverkstrafik, fäster filter på sockets som begränsar trafik till TCP, UDP och SCTP på fördefinierade höga portar. Dess variant från juli 2025 stödjer IPv4 och IPv6 över dessa protokoll på portar som 54778, 58870, 59666, 54879, 57987, 64322, 45677 och 63227, vilket underlättar port hopping för att undvika blockeringar. Denna flexibilitet utnyttjar säkerhetsverktygs tendens att ignorera okända höga portar och UDP-trafik, behandla den som ofarlig brus.
eBPF-bytecode, analyserad med verktyg som Radare2, avslöjar inspektionsrutiner som identifierar kommandopaket via specifika portar och protokoll, skickar dem tyst medan andra kasseras. Detektionsutmaningar kvarstår på grund av kärnlevelsdrift under userspace-synlighet. Försvarare måste övervaka eBPF- och BPF-användning, inspektera raw- och AF_PACKET-sockets samt utöka IDS/IPS till höga portar och IPv6-flöden. Fortinets antivirus- och IPS-signaturer detekterar nu dessa via revers shell-övervakning och botnet-aktivitetmönster, vilket understryker skiftet mot specialiserad, statsunderstödd malware för åtkomst till kritisk infrastruktur.