✨︎ Resumen (TL;DR):
- El grupo Velvet Ant mantuvo el acceso a una red crítica desde 2016 modificando archivos esenciales del sistema operativo.
- Los atacantes reemplazaron el módulo pam_unix.so y binarios de OpenSSH para registrar credenciales y evadir controles.
- Los métodos tradicionales de limpieza fallaron porque los componentes maliciosos sobrevivían a los cambios de contraseña.
El grupo de espionaje vinculado a China, Velvet Ant, logró infiltrarse en la red más sensible de una organización durante casi diez años sin ser detectado. Los atacantes reescribieron el software que gestiona los inicios de sesión de Linux para mantener un acceso persistente y silencioso desde 2016, según reveló una investigación de la firma de respuesta a incidentes Sygnia.
pam_unix.so es un módulo de autenticación conectable (PAM) de Linux que verifica las contraseñas de los usuarios y que el grupo reemplazó por versiones alteradas para abrir una puerta trasera en los servidores.
Un secuestro invisible desde las entrañas del sistema
En lugar de instalar un software malicioso común que los sistemas de defensa pudieran rastrear y borrar, Velvet Ant modificó directamente los componentes centrales del sistema operativo. Al alterar el archivo pam_unix.so y varios binarios de OpenSSH, los hackers crearon un bypass para entrar como cualquier usuario y activaron un keylogger que capturaba las contraseñas reales de los administradores mientras las tecleaban.
Sygnia descubrió nueve variantes distintas de este módulo PAM modificado, cada una compilada en entornos de desarrollo separados, lo que demuestra una operación planificada y con abundantes recursos financieros.
Los binarios de SSH alterados incluían un comando especial diseñado para ocultar el registro de credenciales durante operaciones activas, lo que permitía a los atacantes borrar su rastro forense en tiempo real.
Cómo cruzaron una red aislada de internet
La red atacada no tenía conexión directa a internet, pero los atacantes diseñaron una ruta de acceso lateral en varias etapas. Primero comprometieron servidores externos orientados a la web y luego crearon un túnel hacia la red interna de TI.
Para lograr esto, utilizaron una versión modificada de la herramienta GS-Netcat, renombrada como “auditdb” y guardada en el directorio /usr/sbin/ para camuflarse entre las utilidades legítimas del sistema.
Debido a que los atacantes dominaban los procesos de administración y acceso remoto, las medidas convencionales de contención resultaron inútiles. Las puertas traseras resistieron cambios de contraseñas y cierres de sesión activos.
La firma de seguridad advierte que un reemplazo incorrecto de los binarios comprometidos en sistemas en producción puede dejar fuera a los propios administradores de TI. Recomiendan verificar siempre los módulos PAM y OpenSSH contra copias limpias y conocidas del sistema.
El historial persistente de Velvet Ant
Este método no es el único recurso de este grupo de ciberespionaje. Sygnia vinculó previamente a Velvet Ant con el secuestro de dispositivos F5 BIG-IP y el uso de una vulnerabilidad de día cero (CVE-2024-20399) en el sistema operativo NX-OS de Cisco para comprometer switches Nexus.
El patrón del grupo es constante: cuando se les detecta, se mudan a partes de la infraestructura tecnológica que reciben menos monitoreo y vuelven a levantar sus accesos.
La revelación coincide con alertas constantes sobre las operaciones digitales de China contra la infraestructura crítica. De acuerdo con datos recientes de CrowdStrike, los grupos vinculados a este país realizaron más del 58% de las intrusiones patrocinadas por el Estado contra empresas de tecnología global entre abril de 2025 y marzo de 2026.
