Newsletter Subscribe
Enter your email address below and subscribe to our newsletter

intelfusions+1intelfusionstechinformedEn Kinalänkad spiongrupp uppehöll sig i det dolda i en organisations mest känsliga nätverk i nästan tio år och undvek upptäckt genom att skriva om själva programvaran som hanterar användarinloggningar, enligt en rättsmedicinsk undersökning publicerad denna vecka av incidenthanteringsföretaget Sygnia.intelfusions
Intrånget, som Sygnia kallar Operation Highland, tillskrivs en hotaktör som företaget spårar som Velvet Ant. De tidigaste rättsmedicinska spåren dateras tillbaka till 2016, vilket innebär att gruppen bibehöll åtkomst i nästan ett decennium innan den upptäcktes.intelfusions
Istället för att förlita sig på ett enda implantat som försvarare kunde hitta och ta bort, ersatte Velvet Ant pam_unix.so – Linux Pluggable Authentication Module som kontrollerar lösenord – och flera OpenSSH-binärfiler med bakdörrsversioner på flera värdar. Detta gav angriparna en dold omväg för att logga in som vilken användare som helst, och en inbyggd keylogger som fångade upp legitima inloggningsuppgifter när administratörer skrev in dem.intelfusions
Sygnia identifierade nio distinkta varianter av den skadliga PAM-modulen, var och en kompilerad i en separat utvecklingsmiljö, vilket pekar på en resursstark och medveten operation. De manipulerade SSH-binärfilerna bar en anpassad flagga för att undertrycka sin egen loggning av inloggningsuppgifter, vilket lät operatörerna hantera sitt rättsmedicinska fotavtryck under live-aktivitet.intelfusions
Det målinriktade kritiska nätverket hade ingen direkt internetanslutning. Velvet Ant nådde det genom en flerstegs sidledsväg: först genom att kompromettera internetvända servrar, sedan genom att tunnla genom företagets IT-nätverk med hjälp av en modifierad version av GS-Netcat omdöpt till "auditdb" och placerad i /usr/sbin/ för att smälta in med systemverktyg.intelfusions
Eftersom angriparna kontrollerade komponenterna som hanterar fjärråtkomst och systemadministration, visade sig standardåtgärder för inneslutning vara ineffektiva. Bakdörrarna överlevde lösenordsbyten och sessionsavslutningar. Sygnia betonar att felaktig ersättning av komprometterade binärfiler på livesystem kan låsa ute administratörer helt, och att bakdörrar måste tas bort innan lösenord återställs för att förhindra att inloggningsuppgifter stjäls på nytt.sygnia+1
Företaget rekommenderar att övervaka PAM-moduler och OpenSSH-binärfiler för oväntade ändringar, validera inloggningsrelaterade filer mot kända bra baselines och leta efter obehöriga authorized_keys-poster.intelfusions
Detta är inte första gången Sygnia har dokumenterat Velvet Ants uthållighetsfokuserade hantverk. Företaget har tidigare kopplat gruppen till missbruk av F5 BIG-IP-enheter och utnyttjande av CVE-2024-20399, en zero-day i Cisco NX-OS, för att plantera bakdörrar på Nexus-switchar. Det konsekventa mönstret: när Velvet Ant upptäcks, skiftar de till mindre övervakad infrastruktur och bygger upp på nytt.sygnia+1
Avslöjandet kommer mitt i en bredare våg av varningar om kinesiska cyberoperationer mot kritisk infrastruktur. CrowdStrike rapporterade denna vecka att Kinalänkade motståndare stod för mer än 58 % av statsunderstödda intrång mot tekniska enheter mellan april 2025 och mars 2026.techinformed+1