✨︎ Resumen (TL;DR):
- Rapid7 detectó al grupo chino Red Menshen usando BPFdoor para espiar redes de telecomunicaciones y el tráfico de usuarios.
- Investigadores de Check Point revelaron VoidLink, un malware de más de 88,000 líneas creado con IA en pocos días.
- Ambas amenazas evaden la detección en sistemas Linux y buscan un preposicionamiento a largo plazo en infraestructuras críticas.
La firma de ciberseguridad Rapid7 descubrió que un grupo de hackers vinculado a China, conocido como Red Menshen, implantó células durmientes en redes de telecomunicaciones globales. Los atacantes utilizan herramientas furtivas a nivel de kernel en servidores Linux para espiar el tráfico de internet e infiltrar infraestructuras críticas sin levantar sospechas.
BPFdoor es un backdoor para Linux que abusa de la tecnología Berkeley Packet Filter para monitorear paquetes de red de forma pasiva, sin abrir puertos ni generar actividad de balizas. Aunque se reportó por primera vez en 2022, la variante descubierta recientemente oculta sus activadores de comando dentro del tráfico HTTPS encriptado mediante proxies y balanceadores de carga.
Durante la conferencia RSAC 2026 en San Francisco, los investigadores detallaron cómo este malware ataca protocolos específicos de telecomunicaciones como SCTP. Esto permite a los atacantes rastrear ubicaciones, identidades y la actividad de los suscriptores en redes 4G y 5G.
“Si tienes acceso a la infraestructura de telecomunicaciones, no solo estás dentro de una empresa, estás operando cerca de la capa de comunicación de poblaciones enteras”, declaró Raj Samani, científico jefe de Rapid7.
VoidLink: El primer rootkit masivo creado con IA
De forma paralela, Check Point Research reportó en diciembre de 2025 el hallazgo de VoidLink, un framework de malware nativo de la nube que encendió las alarmas de la industria por su origen de desarrollo.
- Un solo programador utilizó TRAE, un entorno de desarrollo (IDE) basado en IA, para generar más de 88,000 líneas de código funcional en menos de una semana.
- El sistema analiza el entorno de la víctima e implementa rootkits según la versión del sistema operativo: usa programas eBPF en kernels 6.x, combinaciones híbridas en 5.x y módulos compilados a distancia para versiones antiguas.
- Según un análisis de la firma Sysdig, el servidor de comando y control compila módulos rootkit bajo demanda para el kernel específico de cada víctima.
“La IA permitió que lo que parece ser un solo actor planeara, desarrollara e iterara una plataforma de malware compleja en días, algo que antes requería equipos coordinados”, explicó Eli Smadja, gerente de grupo en Check Point Research.
El riesgo aumenta drásticamente en plataformas en la nube. Ericsson ya había advertido que BPFdoor sobrevive en entornos Kubernetes a nivel de nodo, incluso cuando los pods se reprograman. VoidLink va un paso más allá al buscar configuraciones vulnerables en contenedores de Docker mediante APIs de metadatos en la nube.
Para facilitar la defensa de las corporaciones, Rapid7 liberó un script de escaneo de código abierto para identificar implantes de BPFdoor. El objetivo de estos atacantes ya no se limita a la extracción rápida de datos.
“Esto no es espionaje tradicional, es preposicionamiento dentro de la infraestructura de la que dependen las naciones”, concluyó Christiaan Beek, vicepresidente de ciberinteligencia en Rapid7.
