Newsletter Subscribe
Enter your email address below and subscribe to our newsletter

intelfusions+1intelfusionstechinformedUn grupo de espionaje vinculado a China habitó silenciosamente la red más sensible de una organización durante casi diez años, evadiendo la detección al reescribir el software que gestiona los inicios de sesión de los usuarios, según una investigación forense publicada esta semana por la firma de respuesta a incidentes Sygnia.intelfusions
La intrusión, que Sygnia denomina Operación Highland, se atribuye a un actor de amenazas al que la firma rastrea como Velvet Ant. Los primeros rastros forenses se remontan a 2016, lo que significa que el grupo mantuvo el acceso durante casi una década antes de ser descubierto.intelfusions
En lugar de depender de un único implante que los defensores pudieran encontrar y eliminar, Velvet Ant reemplazó pam_unix.so —el módulo de autenticación conectable de Linux que verifica las contraseñas— y varios binarios de OpenSSH con versiones modificadas en múltiples hosts. Esto dio a los atacantes una vía de acceso oculta para iniciar sesión como cualquier usuario y un registrador de teclas incorporado que capturaba credenciales legítimas a medida que los administradores las escribían.intelfusions
Sygnia identificó nueve variantes distintas del módulo PAM malicioso, cada una compilada en un entorno de compilación separado, lo que apunta a una operación deliberada y con buenos recursos. Los binarios SSH manipulados llevaban una bandera personalizada para suprimir su propio registro de credenciales, lo que permitía a los operadores gestionar su huella forense durante la actividad en vivo.intelfusions
La red crítica objetivo no tenía conexión directa a Internet. Velvet Ant llegó a ella a través de una ruta lateral de varias etapas: primero comprometiendo servidores orientados a Internet, luego tunelizando a través de la red de TI corporativa utilizando una versión modificada de GS-Netcat renombrada como "auditdb" y colocada en /usr/sbin/ para mezclarse con las utilidades del sistema.intelfusions
Debido a que los atacantes controlaban los componentes que manejan el acceso remoto y la administración del sistema, los pasos de contención estándar resultaron ineficaces. Las puertas traseras sobrevivieron a los cambios de contraseña y a las terminaciones de sesión. Sygnia subraya que los reemplazos incorrectos de binarios comprometidos en sistemas en vivo podrían bloquear a los administradores por completo, y que las puertas traseras deben eliminarse antes de restablecer las contraseñas para evitar el robo de credenciales.sygnia+1
La firma recomienda monitorear los módulos PAM y los binarios de OpenSSH en busca de cambios inesperados, validar los archivos relacionados con el inicio de sesión con líneas base conocidas como buenas y buscar entradas autorizadas no autorizadas en authorized_keys.intelfusions
Esta no es la primera vez que Sygnia documenta las técnicas centradas en la persistencia de Velvet Ant. La firma vinculó previamente al grupo con el abuso de dispositivos F5 BIG-IP y la explotación de CVE-2024-20399, una vulnerabilidad de día cero en Cisco NX-OS, para instalar puertas traseras en conmutadores Nexus. El patrón constante: cuando se detecta, Velvet Ant pivota hacia una infraestructura menos monitoreada y se reconstruye.sygnia+1
La revelación llega en medio de una ola más amplia de advertencias sobre las operaciones cibernéticas chinas contra la infraestructura crítica. CrowdStrike informó esta semana que los adversarios vinculados a China impulsaron más del 58% de las intrusiones patrocinadas por el Estado contra entidades tecnológicas entre abril de 2025 y marzo de 2026.techinformed+1