Velvet Ant: grupo APT chinês espionou rede crítica por dez anos usando autenticação comprometida e túneis para ambientes air-gapped

O Velvet Ant não só invadiu uma rede air-gapped, ele a redefiniu como parte de sua própria infraestrutura de autenticação. Ao substituir nove variantes distintas do módulo PAM e trojanizar o OpenSSH, o grupo não roubou senhas: ele se tornou o próprio mecanismo de validação. Cada login, cada comando SSH, cada execução com privilégios virou um evento observável em tempo real, sem depender de sessões ativas ou tokens. Isso é pior que um backdoor: é uma reescrita da camada de identidade do sistema operacional.

A engenharia do túnel HTTP→FastCGI→SSH é tão simples quanto letal: nenhuma nova porta aberta, nenhum tráfego suspeito no firewall, só requisições POST normais disfarçadas de upload de log. E o fato de terem usado um binário chamado 'uptime' mostra intenção clara de evasão, não é malware genérico, é código feito para passar despercebido em qualquer auditoria de processos. A remediação exigiu laboratório de testes porque apagar esses componentes era equivalente a desligar o coração do sistema de autenticação.

Em 2024, o Velvet Ant já usava F5 BIG-IP como servidores C2 internos e explorava o zero-day CVE-2024-20399 no NX-OS da Cisco para implantar o 'VELVETSHELL'. Mas na Operation Highland (2016, 2026), o grupo evoluiu para algo mais profundo: deixou de depender de dispositivos periféricos e migrou para a camada de kernel e bibliotecas críticas do Linux. Enquanto antes atacavam firmware e appliances, agora adulteram pam_unix.so e sshd diretamente, um salto de tática que transforma a detecção em um problema de integridade de binários, não de comportamento de rede.

Essa operação prova que não há 'ambiente seguro' quando a autenticação é comprometida. MFA, logs de auditoria e firewalls de perímetro falham se o próprio PAM aceita uma senha hardcoded ou se o sshd grava todos os comandos localmente. O ataque ignora controles de acesso tradicionais, e expõe uma falha estrutural: organizações protegem servidores, mas negligenciam a integridade de módulos de autenticação como ativo crítico. A consequência prática? Um administrador pode mudar todas as senhas do mundo e continuar sendo espionado em tempo real, sem saber.