专家最近发现了适用于Linux的BPFDoor恶意软件的升级版本，该版本似乎更难发现-因此，没有防病毒程序仍然将可执行文件标记为恶意软件。

DeepInstinct的网络安全研究人员指出，BPFDoor于2022年首次被发现，至少从2017年起就一直活跃。该工具因滥用伯克利数据包过滤器(BPF)而得名，它用来获取指令并绕过任何防火墙。

据称，其设计使威胁行为者能够在受感染的Linux系统上长时间不被发现。BPFDoor的关键功能是允许威胁行为者查看所有网络流量并查找漏洞，以及通过(现在)未经过滤和畅通的通道发送远程代码。

但BleepingComputer补充道，鉴于目前还没有防病毒软件将BPFDoor标记为恶意软件，系统管理员检测它的唯一方法是“大力”监控网络流量和日志。他们应该使用最先进的端点保护解决方案，并监控“/var/run/initd.lock”上的文件完整性。因为这就是BPFDoor在fork自身作为子进程运行之前创建并锁定运行时的地方。

TheHackerNews还声称BPFDoor通常被与中国有关的威胁组织“红门神”使用。Malpedia上称，该组织自2021年以来一直活跃，主要针对中东和亚洲电信提供商以及政府组织、教育公司和物流公司的Linux操作系统。

获得初始访问权限后，该小组将使用各种自定义工具，例如Mangzamel、Gh0st、Mimikatz和Metasplit。

该小组的大部分活动发生在工作日和工作时间(周一至周五，上午9点至下午5点)。