Hackers da China mantiveram acesso oculto a uma rede de infraestrutura crítica isolada da internet por dez anos, de 2016 a 2026. A operação, batizada de “Highland” e descoberta pela empresa de segurança Sygnia, foi atribuída ao grupo de espionagem Velvet Ant. Os atacantes usaram servidores web comprometidos como ponte até sistemas sem conexão externa e substituíram módulos de autenticação do Linux por versões modificadas para capturar senhas e manter acesso permanente.
Pontos-chave
- Vestígios forenses datam de 2016 — dez anos de acesso não detectado
- Rede alvo era air-gapped: sem qualquer conexão direta com a internet
- Atacantes substituíram o PAM e o OpenSSH por versões com backdoor
- 9 variantes do módulo pam_unix.so malicioso foram identificadas
- Remediação foi de altíssimo risco: remover os backdoors poderia travar toda a autenticação
China: Uma Década de Espionagem
A Sygnia, empresa de resposta a incidentes e cibersegurança, publicou em junho de 2026 os resultados de uma investigação forense que batizou de “Operação Highland”. O alvo foi uma grande organização dona de infraestrutura crítica cuja rede interna mais sensível operava sem conexão direta à internet — uma configuração conhecida como air-gapped, considerada a fronteira máxima de isolamento digital. Os atacantes do cluster chinês Velvet Ant, rastreado pela Sygnia, conseguiram atravessar essa barreira e permanecer no ambiente por quase uma década.
Segundo o relatório da BleepingComputer, os primeiros artefatos forenses da invasão foram encontrados em registros de 2016. A Velvet Ant não é estreante: em 2024, a própria Sygnia já havia documentado a mesma campanha comprometendo dispositivos F5 BIG-IP por três anos. No mesmo ano, a Cisco divulgou um zero-day (CVE-2024-20399) no NX-OS de switches Nexus explorado pelo grupo para implantar um backdoor híbrido chamado VELVETSHELL. O padrão é consistente: quando detectada, a Velvet Ant recua para infraestrutura menos monitorada e reconstrói persistência a partir de um novo vetor.
Como Atravessaram o Isolamento
O aspecto mais impressionante da Operação Highland é como os atacantes construíram um caminho de execução remota até a rede isolada usando apenas configurações de servidores web comprometidos. A cadeia começou com a infecção de servidores voltados para a internet — a Sygnia não divulgou o produto específico ou a vulnerabilidade utilizada nesse passo inicial.
A partir daí, a Velvet Ant instalou um reverse shell modificado baseado no GS-Netcat, disfarçado como componente legítimo do sistema, que se conectava a um domínio de relay configurado para fornecer acesso remoto criptografado. Para movimento lateral, os atacantes implantaram um proxy SOCKS5 personalizado que rodava como daemon mascarado de “smbd -D” (o daemon do Samba), usando nomes de arquivo e portas diferentes em cada host comprometido.
A Ponte HTTP até o Air-Gap
A engenhosidade técnica do ataque está na forma como os atacantes alcançaram sistemas teoricamente inalcançáveis. A análise técnica da Logicity descreve a cadeia de configurações encadeadas que os atacantes usaram para construir um túnel de execução remota via simples requisições HTTP. O caminho funcionava assim: o servidor Nginx voltado para a internet recebia requisições especialmente fabricadas e as repassava para um servidor backend também comprometido. Esse backend tinha sua configuração Nginx alterada para encaminhar as requisições a um processo FastCGI (fcgiwrap) em uma porta separada.
O wrapper FastCGI funcionava como ponte de execução: processava as requisições e lançava um binário personalizado chamado “uptime”, que estabelecia conexões SSH para sistemas dentro da rede de infraestrutura crítica isolada usando parâmetros fornecidos nas requisições HTTP POST. Em termos práticos, os atacantes construíram um túnel da internet pública, através de múltiplos servidores comprometidos, até uma rede que deveria ter conectividade externa zero.
Sequestro Completo da Autenticação
Uma vez dentro do ambiente isolado, a Velvet Ant focou em controle de longo prazo e roubo de credenciais atacando o coração da confiança do sistema operacional. Os atacantes substituíram componentes legítimos de autenticação do Linux por versões modificadas com backdoor e funcionalidades de captura de credenciais.
| Componente | Modificação | Objetivo |
|---|---|---|
| pam_unix.so (PAM) | 9 variantes com backdoor | Aceitar senhas fixas e capturar credenciais |
| ssh / sshd / scp | Binários trojanizados | Registrar comandos e capturar senhas |
| authorized_keys | Inserção de chaves | Acesso durável independente de troca de senhas |
| uptime (binário) | Ferramenta customizada | Ponte SSH para rede isolada via HTTP |
A Sygnia identificou nove variantes distintas do módulo pam_unix.so malicioso, cada uma compilada em um ambiente separado. O nível de esforço necessário para produzir e manter essas variantes aponta para uma operação bem financiada e deliberada — algo consistente com o padrão observado em outros casos de APT chinês que implanta backdoors em sistemas Linux. Os binários SSH modificados incluíam até um parâmetro personalizado para desativar o próprio registro de credenciais — os atacantes gerenciavam ativamente seu rastro forense durante operações em tempo real, um marco de alta disciplina operacional.
Por Que Dez Anos Passaram Despercebidos
A invisibilidade da invasão não dependeu de zero-days exóticos ou malware sofisticado. A Velvet Ant usou técnicas de “living off the land”: modificou binários existentes do sistema em vez de dropar novo malware, usou ferramentas legítimas como SSH e Nginx, e mascarou seus processos como daemons normais do sistema. Quando os atacantes controlam o sistema de autenticação, cada login parece legítimo e cada comando parece autorizado.
Ferramentas tradicionais de detecção procuram assinaturas de malware conhecidas ou comportamentos suspeitos óbvios. Quando atacantes modificam arquivos binários centrais do sistema, eles se tornam parte do próprio sistema operacional. Os binários comprometidos passam em verificações de integridade porque os atacantes controlam o que “integridade” significa naquele contexto. A consequência prática: a atividade administrativa inteira da organização tornou-se completamente observável para os invasores — cada login, cada comando executado em cada host comprometido.
Remoção como Cirurgia de Risco
A Sygnia relata que remover a Velvet Ant do ambiente comprometido foi particularmente complicado. Os atacantes haviam substituído tantos componentes críticos por versões customizadas que removê-los corria o risco de quebrar a autenticação, travar administradores legítimos fora do sistema e causar interrupções operacionais. Para enfrentar o problema, os pesquisadores construíram um laboratório de testes para validar o processo de substituição de binários, perfilaram cada host, testaram os resultados e prepararam procedimentos de rollback antes de tentar a limpeza.
A recomendação da Sygnia é que defensores tratem componentes de autenticação como PAM, OpenSSH e LSASS (no Windows) como ativos de segurança críticos, integrando-os às práticas de hardening de servidores. A proteção deve incluir EDR, monitoramento de integridade de arquivos, acesso privilegiado blindado, autenticação multifator e monitoramento contínuo de modificações não autorizadas. Organizações também devem planejar recuperação offline com backups imutáveis testados e procedimentos de restauração validados. Dez anos é tempo suficiente para equipes inteiras de TI se renovarem, mudanças de configuração se acumularem e o conhecimento institucional do que é “normal” desaparecer. Os atacantes contam exatamente com essa entropia.