Grandes operadores de telecomunicaciones de todo el mundo están siendo objeto de una campaña de ciberespionaje de larga duración atribuida al clúster de amenazas vinculado a China conocido como Red Menshen (también identificado como Earth Bluecrow, DecisiveArchitect, Red Dev 18). Investigaciones recientes de Rapid7 revelan que el objetivo principal no es interrumpir el servicio, sino obtener y mantener acceso estratégico a la infraestructura de red para espiar el tráfico gubernamental y corporativo que atraviesa los nodos de los operadores.
Campaña de ciberespionaje a largo plazo contra operadores de telecomunicaciones
Según Rapid7, Red Menshen ataca de forma sistemática a operadores de telecomunicaciones en Oriente Medio y Asia al menos desde 2021. Esta actividad encaja en un patrón más amplio observado en otras investigaciones de la industria, donde grupos patrocinados por Estados centran sus esfuerzos en telecos por su valor como punto de observación privilegiado sobre comunicaciones diplomáticas, militares y empresariales. Casos como la operación LightBasin documentada por Mandiant ilustran que este tipo de campañas puede mantenerse activa durante años sin ser detectada.
La táctica de Red Menshen se basa en establecer mecanismos de acceso encubiertos y persistentes, descritos por Rapid7 como algunas de las «células durmientes digitales más sigilosas» vistas en redes de telecomunicaciones. Al comprometer routers, firewalls, appliances de VPN y plataformas de gestión, los atacantes logran una posición desde la que monitorizar y manipular tráfico de alto valor sin generar señales evidentes en las capas superiores.
Red Menshen: explotación del perímetro y persistencia a nivel de kernel
Ataque a VPN, firewalls y plataformas expuestas a Internet
La cadena de ataque comienza generalmente con la explotación de infraestructura expuesta a Internet y servicios de borde. Son especialmente atractivos los gateways VPN, cortafuegos de nueva generación y aplicaciones web basadas en tecnologías ampliamente desplegadas en entornos de telecomunicaciones, como soluciones de Ivanti, Cisco, Juniper Networks, Fortinet, VMware, Palo Alto Networks o Apache Struts. Las vulnerabilidades en estos productos han sido objeto recurrente de exploits en campañas avanzadas durante los últimos años.
Una vez obtenido el acceso inicial, Red Menshen despliega frameworks de post-explotación compatibles con Linux, como CrossC2, junto con herramientas como Sliver, el backdoor TinyShell, keyloggers y utilidades para robo y fuerza bruta de credenciales. Con este arsenal, el grupo asegura persistencia, eleva privilegios y realiza movimiento lateral entre sistemas críticos dentro de la red del operador.
Implantes de kernel y backdoors pasivos casi indetectables
El rasgo distintivo de esta campaña es el uso de implantes a nivel de kernel y backdoors pasivos diseñados para operar con un mínimo de tráfico y huella en procesos de usuario. El componente más relevante es el backdoor para Linux conocido como BPFdoor, que explota las capacidades de Berkeley Packet Filter (BPF) para inspeccionar paquetes directamente en el kernel del sistema operativo.
A diferencia de la mayoría del malware, BPFdoor no abre puertos en escucha ni establece canales de comando y control visibles. En su lugar, instala un filtro BPF que examina silenciosamente el tráfico que atraviesa el host en busca de un «paquete mágico» con características previamente definidas. Solo cuando detecta ese patrón se activa y habilita una sesión remota tipo shell para el atacante. La ausencia de tráfico de beaconing y de servicios en escucha convierte a BPFdoor en una puerta trasera extremadamente difícil de identificar mediante herramientas de monitorización tradicionales.
BPFdoor en redes 4G/5G: espionaje en el corazón de la infraestructura
La arquitectura de BPFdoor se compone de dos elementos: un implante pasivo residente en el sistema Linux comprometido y un controlador operado por Red Menshen. El controlador genera y envía los paquetes de activación, y puede ejecutarse tanto desde servidores externos como desde otros activos ya comprometidos dentro de la propia red de la víctima, camuflándose como procesos legítimos.
En entornos de telecomunicaciones, algunos artefactos de BPFdoor han sido observados manejando el protocolo SCTP (Stream Control Transmission Protocol), ampliamente utilizado en la señalización de redes 4G y 5G. Esto otorga a los atacantes visibilidad sobre comportamiento de abonados, patrones de movilidad y geolocalización, e incluso podría facilitar el seguimiento de objetivos específicos dentro de la base de clientes del operador.
Nuevas variantes: HTTPS cifrado e ICMP para comunicaciones encubiertas
Rapid7 ha identificado una variante reciente de BPFdoor que introduce cambios arquitectónicos para aumentar aún más su sigilo. Uno de los más relevantes es la inserción del paquete de activación dentro de tráfico HTTPS cifrado. El implante busca un marcador concreto —la cadena «9999»— en una posición fija dentro del flujo HTTP, lo que le permite reconocer el comando sin alterar la estructura del intercambio TLS ni generar anomalías aparentes en el tráfico.
Adicionalmente, la nueva versión incorpora un canal de comunicación «ligero» basado en ICMP, que habilita el intercambio de datos entre máquinas ya comprometidas mediante paquetes de diagnóstico que suelen pasar desapercibidos en muchas políticas de seguridad. Estas técnicas reflejan una tendencia creciente: los atacantes avanzados desplazan sus operaciones hacia las capas más bajas del stack —kernel, hipervisores, plataformas de red y componentes 4G/5G nativos en la nube— donde la visibilidad defensiva sigue siendo limitada.
Implicaciones para la ciberseguridad en telecomunicaciones y medidas prioritarias
El caso de Red Menshen y BPFdoor pone de manifiesto que las redes de telecomunicaciones, con su mezcla de servidores bare metal, entornos de virtualización, appliances de alto rendimiento y funciones 4G/5G contenedorizadas, ofrecen un terreno ideal para operaciones de ciberespionaje silenciosas y de largo plazo. Experiencias previas del sector muestran que la detección suele producirse meses o años después de la intrusión inicial, cuando el atacante ya ha extraído información estratégica.
Para reducir este riesgo, los operadores y grandes organizaciones deben priorizar un conjunto de medidas concretas: parcheo acelerado de VPN, firewalls y plataformas web expuestas; segmentación estricta de la red y principios zero trust; monitorización a nivel de kernel y de infraestructura de red (incluyendo eBPF y telemetría de appliances); despliegue de soluciones EDR/XDR con capacidad para detectar implantes poco convencionales; y programas de threat hunting proactivo centrados en comportamientos anómalos más que en simples firmas.
El refuerzo de la colaboración con CERTs nacionales y centros sectoriales de intercambio de inteligencia de amenazas, junto con auditorías regulares de configuración y ejercicios de simulación de ataques (red teaming), resulta esencial para identificar «células durmientes» digitales antes de que se activen. Invertir en estas capacidades no solo mitiga campañas como la de Red Menshen, sino que eleva de forma estructural la resiliencia cibernética de todo el ecosistema de telecomunicaciones.
