Newsletter Subscribe
Enter your email address below and subscribe to our newsletter

intelfusions+1intelfusionstechinformedUn groupe d'espionnage lié à la Chine a discrètement habité le réseau le plus sensible d'une organisation pendant près de dix ans, échappant à la détection en réécrivant le logiciel même qui gère les connexions des utilisateurs, selon une enquête médico-légale publiée cette semaine par la société de réponse aux incidents Sygnia.intelfusions
L'intrusion, que Sygnia appelle Opération Highland, est attribuée à un acteur de menace que l'entreprise suit sous le nom de Velvet Ant. Les premières traces médico-légales remontent à 2016, ce qui signifie que le groupe a maintenu un accès pendant près d'une décennie avant d'être découvert.intelfusions
Plutôt que de s'appuyer sur un seul implant que les défenseurs pourraient trouver et supprimer, Velvet Ant a remplacé pam_unix.so — le module d'authentification enfichable Linux qui vérifie les mots de passe — et plusieurs binaires OpenSSH par des versions piégées sur plusieurs hôtes. Cela a donné aux attaquants un contournement caché pour se connecter en tant qu'utilisateur quelconque et un enregistreur de frappe intégré qui capturait les identifiants légitimes au fur et à mesure que les administrateurs les saisissaient.intelfusions
Sygnia a identifié neuf variantes distinctes du module PAM malveillant, chacune compilée dans un environnement de construction séparé, ce qui indique une opération délibérée et bien dotée en ressources. Les binaires SSH altérés portaient un indicateur personnalisé pour supprimer leur propre journalisation des identifiants, permettant aux opérateurs de gérer leur empreinte médico-légale pendant l'activité en direct.intelfusions
Le réseau critique ciblé n'avait aucune connexion Internet directe. Velvet Ant l'a atteint par un chemin latéral en plusieurs étapes : d'abord en compromettant les serveurs exposés à Internet, puis en passant par le réseau informatique de l'entreprise en utilisant une version modifiée de GS-Netcat renommée "auditdb" et placée dans /usr/sbin/ pour se fondre dans les utilitaires système.intelfusions
Parce que les attaquants contrôlaient les composants qui gèrent l'accès à distance et l'administration du système, les mesures de confinement standard se sont révélées inefficaces. Les portes dérobées ont survécu aux changements de mots de passe et aux terminaisons de session. Sygnia souligne que des remplacements incorrects de binaires compromis sur des systèmes en direct pourraient bloquer complètement les administrateurs, et que les portes dérobées doivent être supprimées avant de réinitialiser les mots de passe pour éviter le vol répété d'identifiants.sygnia+1
L'entreprise recommande de surveiller les modules PAM et les binaires OpenSSH pour détecter tout changement inattendu, de valider les fichiers liés à la connexion par rapport à des bases de référence connues comme étant saines, et de rechercher les entrées authorized_keys non autorisées.intelfusions
Ce n'est pas la première fois que Sygnia documente les techniques axées sur la persistance de Velvet Ant. L'entreprise a précédemment lié le groupe à l'abus d'appliances F5 BIG-IP et à l'exploitation de CVE-2024-20399, une vulnérabilité zero-day dans Cisco NX-OS, pour installer des portes dérobées sur les commutateurs Nexus. Le modèle constant : lorsqu'il est détecté, Velvet Ant pivote vers une infrastructure moins surveillée et se reconstruit.sygnia+1
La divulgation arrive dans le contexte d'une vague plus large d'avertissements concernant les cyberopérations chinoises contre les infrastructures critiques. CrowdStrike a rapporté cette semaine que les adversaires liés à la Chine ont été à l'origine de plus de 58 % des intrusions parrainées par l'État contre des entités technologiques entre avril 2025 et mars 2026.techinformed+1