{"id":1673668,"date":"2025-04-16T22:40:02","date_gmt":"2025-04-16T22:40:02","guid":{"rendered":"https:\/\/teknomers.com\/es\/el-nuevo-controlador-bpfdoor-permite-un-movimiento-lateral-sigiloso-en-los-ataques-de-servidor-de-linux\/"},"modified":"2025-04-16T22:40:07","modified_gmt":"2025-04-16T22:40:07","slug":"el-nuevo-controlador-bpfdoor-permite-un-movimiento-lateral-sigiloso-en-los-ataques-de-servidor-de-linux","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/el-nuevo-controlador-bpfdoor-permite-un-movimiento-lateral-sigiloso-en-los-ataques-de-servidor-de-linux\/","title":{"rendered":"El nuevo controlador BPFDoor permite un movimiento lateral sigiloso en los ataques de servidor de Linux"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>16 de abril de 2025<\/span>\ue804<\/i>Ravie Lakshmanan<\/span><\/span>Ciber espionaje \/ seguridad de la red<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

Los investigadores de seguridad cibern\u00e9tica han desenterrado un nuevo componente de controlador asociado con una puerta trasera conocida llamada BPFDoor como parte de los ataques cibern\u00e9ticos dirigidos a los sectores de telecomunicaciones, finanzas y minoristas en Corea del Sur, Hong Kong, Myanmar, Malasia y Egipto en 2024.<\/p>\n

“El controlador podr\u00eda abrir una carcasa inversa”, Micro investigador de tendencia Fernando Merc\u00eas dicho<\/a> en un informe t\u00e9cnico publicado a principios de la semana. “Esto podr\u00eda permitir el movimiento lateral, lo que permite a los atacantes entrar m\u00e1s profundamente en redes comprometidas, lo que les permite controlar m\u00e1s sistemas o obtener acceso a datos confidenciales.<\/p>\n

La campa\u00f1a se ha atribuido con la confianza media a un grupo de amenazas que rastrea como Earth BlueCrow, que tambi\u00e9n se conoce como Decisivearchitect, Red Dev 18 y Red Menshen. El nivel de confianza m\u00e1s bajo se reduce al hecho de que el c\u00f3digo fuente de malware BPFDoor fue filtrado en 2022<\/a>lo que significa que tambi\u00e9n podr\u00eda haber sido adoptado por otros grupos de pirater\u00eda.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/div>\n

BPFDoor es una puerta trasera de Linux que Primero sali\u00f3 a la luz<\/a> En 2022, con el malware posicionado como una herramienta de espionaje a largo plazo para su uso en ataques dirigidos a entidades en Asia y Medio Oriente al menos un a\u00f1o antes de la divulgaci\u00f3n p\u00fablica.<\/p>\n

El aspecto m\u00e1s distintivo del malware es que crea un canal persistente pero cobarde para que los actores de amenaza controlen las estaciones de trabajo comprometidas y accedan a los datos confidenciales durante per\u00edodos prolongados de tiempo.<\/p>\n

El malware obtiene su nombre del uso del filtro de paquetes de Berkeley (BPF<\/a>), una tecnolog\u00eda que permite que los programas adjuntaran filtros de red a un enchufe abierto para inspeccionar los paquetes de red entrantes y monitorear una secuencia de bytes m\u00e1gica espec\u00edfica para entrar en acci\u00f3n.<\/p>\n

“Debido a c\u00f3mo se implementa BPF en el sistema operativo objetivo, el paquete m\u00e1gico desencadena la puerta trasera a pesar de ser bloqueado por un firewall”, dijo Merc\u00eas. “A medida que el paquete alcanza el motor BPF del kernel, activa la puerta trasera residente. Si bien estas caracter\u00edsticas son comunes en los ra\u00edces, no se encuentran t\u00edpicamente en las puertas traseras”.<\/p>\n

El \u00faltimo an\u00e1lisis de Trend Micro ha encontrado que los servidores de Linux dirigidos tambi\u00e9n han sido infectados por un controlador de malware previamente indocumentado que se utiliza para acceder a otros hosts afectados en la misma red despu\u00e9s del movimiento lateral.<\/p>\n

“Antes de enviar uno de los ‘paquetes m\u00e1gicos’ verificados por el filtro BPF insertado por BPFDoor Malware, el controlador le pide a su usuario una contrase\u00f1a que tambi\u00e9n se verifique en el lado BPFDoor”, explic\u00f3 Merc\u00eas.<\/p>\n

En el siguiente paso, el controlador dirige a la m\u00e1quina comprometida para realizar una de las acciones a continuaci\u00f3n en funci\u00f3n de la contrase\u00f1a proporcionada y las opciones de l\u00ednea de comandos utilizadas –<\/p>\n