### Velvet Ant: Un Grupo Chino Infiltra Durante una Década el Subsistema de Login de Linux
#### Introducción
La sofisticación de las amenazas persistentes avanzadas (APT) sigue evolucionando, y los actores vinculados a China han demostrado, una vez más, su capacidad para operar de forma sigilosa y prolongada dentro de entornos críticos. Recientemente, la firma de ciberseguridad Sygnia ha revelado una campaña de intrusión llevada a cabo por el grupo Velvet Ant, que ha permanecido oculto durante casi diez años al comprometer componentes nucleares del sistema de autenticación en Linux. Este hallazgo pone de manifiesto la necesidad de reforzar la seguridad en capas menos vigiladas del stack de sistemas Unix-like, más allá de la tradicional monitorización de endpoints y servidores.
#### Contexto del Incidente o Vulnerabilidad
Velvet Ant, atribuido a intereses del Estado chino, ha sido identificado por Sygnia tras una investigación en profundidad de varios incidentes de seguridad en grandes organizaciones. A diferencia de otros grupos que buscan persistencia mediante puertas traseras tradicionales o malware en sistemas de archivos, Velvet Ant modificó directamente módulos críticos del subsistema de login de Linux, concretamente PAM (Pluggable Authentication Modules) y OpenSSH. El objetivo: garantizar acceso persistente y sigiloso a infraestructuras críticas, evadiendo tanto los controles tradicionales de seguridad como los procedimientos de limpieza habituales.
#### Detalles Técnicos
La operación de Velvet Ant se centró en la manipulación de dos componentes clave:
– **PAM (Pluggable Authentication Modules):** Se inyectaron cargas maliciosas directamente en la cadena de autenticación, permitiendo la creación de credenciales ocultas y eludir los controles de acceso convencionales.
– **OpenSSH:** El backdoor afectaba al binario y a la configuración, permitiendo la autenticación de usuarios no autorizados y el establecimiento de túneles cifrados sin levantar alertas.
Las versiones afectadas abarcan distribuciones de Linux ampliamente utilizadas, como RHEL 7/8, Ubuntu LTS (16.04, 18.04 y 20.04) y CentOS 7/8. No se descarta que otras variantes de Unix hayan sido también objeto de la campaña.
En cuanto a vectores de ataque, el grupo utilizó credenciales comprometidas y exploit locales tras la elevación de privilegios inicial, modificando directamente el código fuente del PAM y OpenSSH antes de compilar e instalar los binarios modificados. Los TTP (Tácticas, Técnicas y Procedimientos) observados se alinean con MITRE ATT&CK, especialmente las técnicas **T1055 (Process Injection)**, **T1078 (Valid Accounts)** y **T1547 (Boot or Logon Autostart Execution)**.
Indicadores de Compromiso (IoC) identificados incluyen hashes SHA-256 de binarios no firmados, cadenas de autenticación sospechosas en logs de SSH, y conexiones persistentes a direcciones IP atribuidas a infraestructura asociada a Velvet Ant.
#### Impacto y Riesgos
El principal riesgo reside en la capacidad de los atacantes para mantener acceso privilegiado durante largos periodos sin ser detectados. Dada la crítica importancia de PAM y OpenSSH en la autenticación y gestión de sesiones, estas modificaciones permitieron:
– Acceso remoto sigiloso y persistente.
– Evasión de soluciones EDR tradicionales y de escaneo de integridad.
– Manipulación de registros de login para ocultar la actividad maliciosa.
– Potencial exfiltración de datos sensibles y movimientos laterales hacia otros sistemas.
Aunque la prevalencia identificada hasta la fecha no supera el 2% de las grandes infraestructuras analizadas, el impacto potencial es enorme, especialmente en sectores regulados bajo GDPR y la inminente NIS2, donde la detección tardía de brechas puede conllevar multas millonarias y daños reputacionales irreparables.
#### Medidas de Mitigación y Recomendaciones
Sygnia y otros expertos recomiendan una batería de medidas para mitigar este tipo de amenazas:
1. **Verificación de la integridad de binarios:** Utilizar herramientas como AIDE, Tripwire o el propio rpm/yum/dpkg para comparar hashes con los repositorios oficiales.
2. **Auditoría exhaustiva de logs de autenticación:** Buscar patrones de acceso inusuales y cadenas de autenticación no estándar.
3. **Reinstalación de paquetes críticos desde fuentes confiables:** Evitar actualizaciones desde repositorios no verificados.
4. **Rotación de credenciales y claves SSH:** Especialmente tras una sospecha de compromiso.
5. **Implementación de controles de acceso basados en roles (RBAC) y autenticación multifactor (MFA).**
6. **Despliegue de sensores de integridad a nivel kernel y monitorización de cambios en /etc/pam.d y /etc/ssh.**
#### Opinión de Expertos
Según los analistas de Sygnia, “esta campaña demuestra que las amenazas más sofisticadas buscan persistencia en capas del sistema que a menudo quedan fuera de la monitorización del SOC. Es imperativo que las organizaciones refuercen la visibilidad sobre los componentes de autenticación y adopten una estrategia de defensa en profundidad”.
Por su parte, expertos independientes como Sergio de los Santos (Head of Innovation and Labs, Telefónica Tech) destacan: “El backdooring de PAM y OpenSSH no es nuevo, pero la capacidad de permanecer indetectados durante años evidencia un gap en la cultura de protección de infraestructuras Linux”.
#### Implicaciones para Empresas y Usuarios
Para las empresas, el incidente subraya la necesidad de reforzar la gestión de la cadena de suministro de software y de integrar la monitorización de integridad como parte esencial de sus programas de ciberseguridad. Los usuarios finales, especialmente administradores de sistemas y responsables de seguridad, deben revisar sus procedimientos de hardening y respuesta a incidentes, así como mantener inventarios actualizados de software crítico.
A nivel regulatorio, el hallazgo refuerza la urgencia del cumplimiento de la NIS2 y el GDPR, que exigen la notificación de brechas y la protección efectiva de datos personales y sistemas esenciales.
#### Conclusiones
La campaña de Velvet Ant es una llamada de atención para el sector: los actores más avanzados están dispuestos a invertir años en comprometer componentes críticos y pasar inadvertidos. La defensa debe evolucionar hacia la visibilidad y protección integral de todos los elementos del stack, con especial atención a aquellos tradicionalmente menos vigilados.
(Fuente: feeds.feedburner.com)