🕵️ Contexte

Source : BleepingComputer, publié le 13 juin 2026. L’article rapporte les conclusions de Sygnia sur une campagne d’espionnage baptisée “Operation Highland”, attribuée au groupe Velvet Ant, un acteur de cyberespionnage d’origine chinoise. La campagne a débuté en 2016 et s’est poursuivie pendant 10 ans contre une grande organisation disposant d’un réseau critique isolé (air-gapped).

🎯 Vecteur d’accès initial et pivotement

L’attaque débute par la compromission de serveurs exposés sur internet (le produit ou la vulnérabilité spécifique ne sont pas mentionnés). Velvet Ant déploie ensuite :

  • Un reverse shell GS-Netcat modifié, déguisé en composant système légitime, connecté à un domaine relay codé en dur, offrant un accès shell chiffré
  • Un proxy SOCKS5 personnalisé se faisant passer pour smbd -D, transformant les serveurs compromis en points de pivot internes

🔗 Accès au réseau isolé

Pour atteindre le réseau air-gapped, Velvet Ant a chaîné plusieurs modifications :

  1. Modification de la configuration Nginx d’un serveur internet pour proxifier des requêtes vers un serveur backend compromis
  2. Le backend Nginx redirige vers un processus FastCGI (fcgiwrap) sur un port séparé
  3. Le wrapper FastCGI exécute un binaire personnalisé nommé uptime qui établit des connexions SSH vers les systèmes du réseau isolé via des paramètres fournis dans des requêtes HTTP POST

🔐 Persistance via détournement de l’authentification

Une fois dans le réseau isolé, Velvet Ant cible les composants d’authentification Linux :

  • 9 variantes distinctes de modules pam_unix.so backdoorés : acceptent des mots de passe codés en dur et collectent les identifiants des utilisateurs légitimes
  • Remplacement des composants OpenSSH (ssh, sshd, scp) par des versions trojanisées capturant les identifiants et journalisant les commandes SSH
  • Résultat : toute l’activité administrative devient observable, indépendamment des changements de mots de passe ou des terminaisons de session

🧹 Complexité de la remédiation

Sygnia souligne que le nettoyage a été particulièrement complexe : le remplacement massif de composants critiques risquait de bloquer l’authentification légitime et de provoquer des interruptions opérationnelles. Une procédure de test en laboratoire avec rollback a été nécessaire.

📌 Type d’article

Il s’agit d’une publication de recherche basée sur les travaux de Sygnia, visant à documenter les techniques avancées d’un acteur étatique chinois pour des fins de threat intelligence et de sensibilisation défensive.

🧠 TTPs et IOCs détectés

Acteurs de menace

TTP

  • T1190 — Exploit Public-Facing Application (Initial Access)
  • T1572 — Protocol Tunneling (Command and Control)
  • T1090.001 — Proxy: Internal Proxy (Command and Control)
  • T1021.004 — Remote Services: SSH (Lateral Movement)
  • T1556.003 — Modify Authentication Process: Pluggable Authentication Modules (Credential Access)
  • T1554 — Compromise Host Software Binary (Persistence)
  • T1543.002 — Create or Modify System Process: Systemd Service (Persistence)
  • T1505.003 — Server Software Component: Web Shell (Persistence)
  • T1552.004 — Unsecured Credentials: Private Keys (Credential Access)
  • T1056 — Input Capture (Collection)
  • T1599 — Network Boundary Bridging (Defense Evasion)

IOC

  • Fichiers : uptime
  • Fichiers : pam_unix.so

Malware / Outils

  • GS-Netcat (backdoor)
  • Custom SOCKS5 proxy (tool)
  • Malicious PAM module (pam_unix.so) (backdoor)
  • Trojanized OpenSSH (backdoor)

🟡 Indice de vérification factuelle : 61/100 (moyenne)

  • ✅ bleepingcomputer.com — source reconnue (liste interne) (20pts)
  • ✅ 6065 chars — texte complet (15pts)
  • ✅ 2 IOC(s) (6pts)
  • ⬜ pas d’IOC vérifié (0pts)
  • ✅ 11 TTPs MITRE identifiées (15pts)
  • ⬜ date RSS ou approximée (0pts)
  • ✅ acteur(s) identifié(s) : Velvet Ant (5pts)
  • ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://www.bleepingcomputer.com/news/security/chinese-hackers-hijack-auth-flow-spy-on-isolated-network-for-a-decade/