Velvet Ant, dieci anni dentro il sistema di login: l’APT cinese che riscrive la fiducia nelle reti isolate

Per quasi un decennio il gruppo Velvet Ant, riconducibile alla Cina, è rimasto nascosto non sui server più sorvegliati, ma dentro il meccanismo che decide chi può accedere a quei server. La società di incident response Sygnia ha ricostruito, in una ricerca pubblicata l’11 giugno, l’operazione battezzata Operation Highland: l’attore ha modificato i componenti di autenticazione di Linux, PAM e OpenSSH, per garantirsi una persistenza che i normali interventi di bonifica non riuscivano a raggiungere. Le tracce più antiche risalgono al 2016. Più che un singolo incidente, è la fotografia di una dottrina di spionaggio paziente che interessa direttamente chi gestisce reti segmentate, infrastrutture critiche e ambienti OT.

Chi è Velvet Ant e cosa ha fatto

La rete colpita non aveva accesso diretto a Internet. Per arrivarci, il gruppo si è appoggiato a sistemi esposti come ponte, instradando i comandi attraverso un server web pubblico fino al segmento isolato. Una volta dentro, niente malware vistoso: l’attaccante ha sostituito i programmi di login considerati affidabili. Sui sistemi compromessi è stato rimpiazzato il modulo pam_unix.so, in nove varianti distinte individuate dai ricercatori, ciascuna compilata in un ambiente di build separato; una famiglia consentiva soltanto l’accesso con una password segreta, l’altra combinava il bypass (tramite credenziale fissa Pamauth@123456) e la registrazione silenziosa di nomi utente e password reali a ogni accesso legittimo. Gli stessi programmi di OpenSSH sono stati alterati per annotare credenziali e ogni comando digitato, con un flag nascosto (-d) per disattivare la registrazione quando serviva, come ricostruito da BleepingComputer. Il punto critico, sul piano difensivo, è che la compromissione del sistema di autenticazione svuota le contromisure abituali: reimpostare le password o terminare le sessioni serve a poco quando proprio il componente che verifica quelle credenziali lavora per l’attaccante. La presenza diventa indistinguibile dalla normale attività amministrativa, perché si annida in pam_unix.so, sshd e ssh, file presenti praticamente su ogni host Linux.

Non è la prima volta

Lo schema è coerente con la storia del gruppo. Ogni volta che i difensori scoprono un punto d’appoggio, Velvet Ant si sposta verso apparati meno monitorati. Nel 2024 Sygnia lo aveva osservato trasformare appliance F5 BIG-IP esposte in server di comando interni; più avanti nello stesso anno il gruppo sfruttava una falla di Cisco NX-OS, CVE-2024-20399, per impiantare una backdoor sugli switch (un bug che richiede privilegi di amministratore, quindi strumento di persistenza più che di intrusione iniziale, corretto da Cisco a luglio 2024 e segnalato come sfruttato dalla CISA il giorno successivo). Operation Highland è la stessa idea, un livello più in profondità: bilanciatori, switch e ora il software di login sono affidabili per default e quasi mai verificati, ed è esattamente per questo che un attaccante paziente vi si nasconde.

Perché conta sul piano geopolitico

La vicenda conferma una tendenza che le agenzie occidentali segnalano da tempo: gli attori nation-state, e in particolare quelli di matrice cinese, privilegiano il pre-posizionamento di lungo periodo nelle reti strategiche rispetto all’attacco rumoroso, come rilevato da più analisti. La furtività non nasce tanto dall’uso di strumenti integri così come sono (tecnica living-off-the-land, presente semmai nella fase d’ingresso con utility pubbliche come GS-Netcat e un proxy SOCKS5 in Perl), quanto dalla manomissione dei binari di autenticazione: l’attaccante si maschera da componente fidato, riscrivendo i programmi di sistema con versioni trojanizzate. È una sovversione della catena di fiducia, difficile da attribuire e rilevare, coerente con obiettivi di intelligence più che di estorsione. Per i settori a maggior valore (difesa, telecomunicazioni, energia, pubblica amministrazione) la lezione operativa è netta: la segmentazione non basta, perché la catena di fiducia (supply chain del software di sistema) include ora anche i sistemi di autenticazione. La risposta, avvertono i ricercatori, non è il patch, ma la verifica di integrità. Operation Highland non è un problema da un solo CVE: i programmi affidabili sono stati alterati dopo l’ingresso, quindi serve confrontarli con copie note e integre, monitorare i file di PAM e OpenSSH per ogni modifica, e soprattutto rimuovere la backdoor prima di reimpostare le credenziali, collaudando in laboratorio qualsiasi sostituzione per non bloccare gli amministratori fuori da un sistema in produzione.