文章核心观点 - 网络安全公司Rapid7披露了一项长期、隐蔽的间谍活动，该活动由中国关联威胁组织“Red Menshen”实施，其已在全球电信基础设施内部建立了持久性访问权限，旨在对政府通信、商业和关键基础设施系统进行持续的情报收集[1][2] 威胁活动性质与演变 - 威胁活动已从机会主义入侵转变为在电信网络内部进行有意的、长期的预先部署[2] - 这种“休眠细胞”旨在保持隐蔽，同时持续监控用户活动、信令系统和敏感通信[2] - 攻击者采用的是一种持久性访问模型，他们嵌入核心通信系统并长期维持该访问权限[5] - 攻击者活动方式不断演变，以提升隐蔽性和持久性[3] 攻击技术细节 - 攻击使用名为BPFdoor的Linux内核级后门，该后门运行时无需开放端口或产生典型信标活动，从而限制了传统终端和网络监控工具的可见性[6] - 新发现的恶意软件变种将命令触发机制隐藏在合法的、加密的HTTPS流量中，通过滥用负载均衡器和代理等SSL终止点，攻击者可绕过现代安全控制来激活休眠的植入程序[6] - 恶意软件通过模仿合法的硬件监控和容器组件等基础设施与管理服务，以混入日常运营活动中[6] - 攻击针对SCTP等专用协议，使其能够获取4G和5G网络中的用户活动可见性，包括位置跟踪和身份相关数据[6] 行业安全挑战与建议 - 获取电信基础设施的访问权限，意味着接近整个人口的通信层，这使得此类访问极具价值，并将检测提升至国家层面的关注[3] - 行业在系统内核和数据包过滤层的持久性威胁可见性方面存在关键盲点，若无此洞察，服务伪装和隐蔽激活技术可长期不被发现[3] - 组织需要先发制人的检测策略，以在攻击者利用这些机制进行高级情报收集之前，识别异常的服务伪装和隐蔽激活机制[3] 公司行动与解决方案 - Rapid7正在与可能受影响的组织合作，并发布了一款免费的开源扫描脚本，以帮助防御者识别潜在的BPFdoor活动，该脚本旨在检测先前记录的和新样本[5] - Rapid7已将研究发现整合到其检测能力中，包括回溯性威胁狩猎以及通过其情报中心向客户提供的更新情报[5] - Rapid7是一家AI驱动的托管网络安全运营领域的全球领导者，其开放可扩展的Command平台集成了安全数据，并利用AI、威胁情报以及25年的专业知识和创新来丰富数据，以降低风险并打击攻击者，该公司为全球超过11,500名客户提供服务[8]