Operación Highland: Cómo un grupo vinculado a China se escondió en el sistema de autenticación de Linux durante casi 10 años

En lugar de instalar malware personalizado que los escáneres de archivos o la detección de endpoints podrían eventualmente detectar, Velvet Ant subvirtió la propia arquitectura de confianza del sistema operativo. En docenas de hosts, el grupo reemplazó sistemáticamente componentes centrales de autenticación de Linux —específicamente el módulo de autenticación conectable pam_unix.so y múltiples binarios de OpenSSH— con versiones 'troyanizadas' .

Esta sustitución proporcionaba dos capacidades desde un único implante:

1. Omisión por contraseña maestra. Los módulos manipulados contenían una contraseña secreta predefinida. Se podía acceder a cualquier cuenta de usuario solo con esta contraseña, eludiendo por completo la autenticación normal. Incluso si los administradores rotaban todas las credenciales, los atacantes aún podían entrar por la puerta principal .
2. Captura silenciosa de credenciales. Cada evento de inicio de sesión legítimo se capturaba en tiempo real. Las contraseñas en texto claro de cada usuario que se autenticaba se escribían en un archivo oculto ubicado en /usr/share/awk/nullfile.awk. Esto permitió a Velvet Ant recopilar credenciales válidas de toda la base de usuarios sin generar ruido adicional por movimiento lateral .

Por qué la limpieza estándar fracasó

Los manuales de respuesta a incidentes tradicionales no están diseñados para un enemigo que ha recompilado los binarios de inicio de sesión de tu sistema operativo. El informe de Sygnia deja claro por qué fallaron los primeros intentos de limpieza:

• Brecha en la limpieza. El flujo de trabajo estándar —eliminar archivos sospechosos, matar procesos maliciosos, rotar todas las contraseñas— tuvo un efecto nulo en el principal mecanismo de persistencia del atacante. El módulo pam_unix.so y los binarios SSH alterados eran archivos legítimos del sistema en todos los sentidos, excepto en su lógica compilada .
• Enmascaramiento de metadatos. Los atacantes preservaron los nombres de archivo, rutas, marcas de tiempo y aproximadamente los mismos tamaños de archivo originales. Cualquier comprobación de integridad de archivos que se basara únicamente en metadatos —algo común en muchos entornos empresariales— no veía nada malo .
• Futilidad de la rotación de contraseñas. Dado que la contraseña maestra predefinida residía dentro del propio módulo de autenticación, restablecer las credenciales de cada usuario no servía para bloquear al adversario .
• Diseño auto-reinstalable. La evidencia reunida durante la investigación indicó que la puerta trasera fue diseñada para sobrevivir a una corrección parcial. Si el equipo de seguridad limpiaba varios hosts pero dejaba la pila de autenticación comprometida en otros, el grupo podía moverse lateralmente de nuevo y volver a comprometer las máquinas reconstruidas .

El paso final de remediación de Sygnia fue inequívoco: la red requería una reconstrucción completa del sistema operativo de cada host afectado desde un medio de solo lectura que se supiera en buen estado. La eliminación selectiva de archivos o la recreación parcial de imágenes fue insuficiente .

El patrón de su técnica de ataque

El éxito de Velvet Ant no se basa en cadenas de ataque exóticas. En cambio, el grupo demuestra un libro de jugadas operativo maduro centrado en la paciencia y el camuflaje a nivel de autenticación.

Atribución y actividad relacionada

Sygnia atribuye la Operación Highland a Velvet Ant con alta confianza y vincula al grupo con objetivos de espionaje patrocinados por el estado chino . El grupo se centra en grandes organizaciones de Asia Oriental, en particular proveedores de telecomunicaciones e infraestructuras críticas .

Campañas anteriores y paralelas proporcionan un contexto adicional. En un caso separado, Velvet Ant utilizó dispositivos F5 BIG-IP heredados como proxies de comando y control (C2) durante al menos tres años antes de que la investigación de Sygnia descubriera la actividad . También se ha observado al grupo desplegando el malware PlugX y ShadowPad durante intrusiones anteriores, lo que indica un amplio conjunto de herramientas que abarca tanto capacidades personalizadas como disponibles públicamente .

Qué deben hacer los defensores ahora

La lección de defensa más importante de la Operación Highland es que la protección de endpoints tradicional y la rotación de credenciales no son suficientes cuando la propia pila de autenticación no es confiable.

Los defensores deben priorizar la monitorización de la integridad de los archivos que compare los hashes criptográficos de los binarios críticos del sistema —incluyendo /lib/security/pam_unix.so y los binarios del demonio SSH— con líneas base en buen estado, y no solo los metadatos de los archivos. Registrar todos los eventos de autenticación de forma centralizada en un sistema externo inmutable también es esencial, porque un atacante con suficiente acceso puede manipular los registros del host. La autenticación multifactor sigue siendo una barrera valiosa, pero no protege directamente contra un servicio PAM con puerta trasera que elude por completo las comprobaciones de autenticación.

La Operación Highland demuestra que la persistencia más peligrosa no se parece en nada al malware: se parece a la pantalla de inicio de sesión en la que confías todos los días.