Grupo hacker chinês manipula camada PAM em servidores Linux e mantém acesso oculto por quase uma década
Um grupo avançado de ciberespionagem ligado à China conseguiu permanecer escondido dentro da rede de uma grande organização por quase dez anos, explorando falhas de monitoramento e adulterando mecanismos críticos de autenticação em servidores Linux. A operação, batizada de Operation Highland, foi analisada por especialistas da Sygnia e atribuída ao grupo conhecido como Velvet Ant.
O que torna o caso especialmente preocupante não é apenas a duração da invasão, mas a sofisticação da estratégia de permanência. Mesmo quando parte da atividade maliciosa era identificada e contida, os invasores não abandonavam o ambiente: em vez disso, reposicionavam-se na infraestrutura, mudavam de tática e criavam novos pontos de entrada, prolongando o controle sobre sistemas sensíveis.
Evidências coletadas pela investigação indicam que os primeiros sinais de comprometimento remontam a 2017. Ao longo desse período, o grupo conseguiu avançar progressivamente para áreas mais internas e críticas da rede, incluindo segmentos considerados de maior proteção e até ambientes sem conexão direta com a internet. Esse movimento lateral cuidadoso permitiu que os atacantes driblassem defesas perimetrais tradicionais e explorassem a falsa sensação de segurança em redes internas e enclaves isolados.
Um dos pilares da campanha foi a adulteração da camada de autenticação dos servidores Linux, mais especificamente componentes envolvidos no processo de login. Os criminosos manipularam módulos responsáveis pela verificação de credenciais, o que lhes permitiu registrar senhas digitadas por usuários legítimos sem levantar suspeitas imediatas. Em alguns casos, os atacantes chegaram a implantar uma espécie de “senha mestre”, criada por eles mesmos, que lhes garantia acesso direto aos sistemas, independentemente das contas oficiais existentes.
Esse tipo de modificação atinge diretamente a Pluggable Authentication Modules (PAM), uma camada fundamental no fluxo de autenticação do Linux. Ao comprometer PAM, o atacante atua no coração do processo de login: tudo o que passa por ali – senhas, tentativas de autenticação, regras de acesso – pode ser monitorado, alterado ou explorado. É uma porta privilegiada para a persistência, pois afeta um componente raramente inspecionado com o mesmo rigor aplicado a aplicações de alto nível ou a soluções de segurança tradicionais.
A Operation Highland ilustra como campanhas de espionagem digital podem se manter ativas por anos quando encontram ambientes pouco monitorados ou com visibilidade limitada. Muitas organizações ainda concentram grande parte dos seus esforços de segurança no perímetro – firewalls, proxies, VPNs – e negligenciam a detecção profunda em servidores internos, sistemas legados e redes supostamente “confiáveis”. Nesses cenários, um invasor paciente e bem financiado, como o Velvet Ant, consegue se misturar ao tráfego legítimo e agir em baixa intensidade, evitando comportamentos ruidosos que chamariam a atenção de ferramentas mais simples de monitoramento.
A investigação também desmonta a crença de que redes isoladas (air-gapped) ou segmentos internos sem acesso direto à internet sejam, por definição, seguros. Ao longo da campanha, o grupo encontrou maneiras de se mover entre diferentes zonas da rede, aproveitando credenciais roubadas, acessos administrativos mal controlados e integrações internas pouco documentadas. Mesmo onde não havia saída direta para a internet, era possível manter alguma forma de controle ou garantir que dados fossem gradualmente exfiltrados através de outros nós comprometidos.
Do ponto de vista de defesa, o caso reforça a importância de tratar o próprio ambiente interno como potencialmente hostil. Isso significa adotar um modelo de segurança baseado em Zero Trust, em que nenhum usuário, máquina ou serviço é automaticamente confiável apenas por estar “dentro” da rede. Monitoramento contínuo de autenticações, validação de integridade de componentes críticos como PAM, e registro detalhado de atividades administrativas tornam-se essenciais para identificar invasões de longo prazo.
Outro aprendizado relevante é a necessidade de revisar periodicamente a cadeia de autenticação em sistemas Linux e Unix-like. Módulos PAM costumam ser configurados uma vez e raramente reavaliados, criando espaço para que alterações maliciosas permaneçam despercebidas por anos. Ferramentas de verificação de integridade de arquivos, auditorias regulares de configuração e comparação com bases de referência confiáveis são medidas que ajudam a detectar adulterações sutis, como a inclusão de código para captura de senhas ou criação de backdoors de login.
O caso do Velvet Ant também evidencia a dificuldade de erradicar completamente um adversário avançado depois que ele se estabelece na rede. Em muitas situações, as equipes de resposta a incidentes conseguem remover um conjunto de ferramentas maliciosas ou bloquear alguns vetores de acesso, mas não obtêm visibilidade total de todas as portas traseiras criadas ao longo dos anos. Isso permite que o grupo invasor retome suas atividades mais à frente, a partir de um ponto de persistência menos óbvio, em uma espécie de jogo de gato e rato prolongado.
É nesse contexto que a aplicação de inteligência artificial à segurança cibernética ganha relevância. Soluções modernas de detecção baseadas em IA conseguem analisar grandes volumes de logs de autenticação, eventos de sistema e fluxos de rede, identificando padrões sutis de anomalia que poderiam passar despercebidos por analistas humanos. Mudanças discretas no comportamento de login de um servidor, por exemplo, ou a aparição de um novo padrão de falhas de autenticação fora do horário normal, podem acender alertas precoces sobre a presença de um componente adulterado na cadeia de autenticação.
Além disso, a IA tem ajudado a reduzir o intervalo entre a detecção de uma ameaça e a resposta efetiva ao incidente. Em vez de depender exclusivamente de análises manuais, muitas plataformas já correlacionam automaticamente sinais suspeitos, sugerem hipóteses de ataque e até executam ações de contenção de forma orquestrada, como isolar um servidor comprometido, revogar credenciais ou bloquear determinados fluxos de rede. Em invasões persistentes como a Operation Highland, essa agilidade pode ser a diferença entre uma presença maliciosa que dura meses e uma que se arrasta por anos.
Por outro lado, é importante reconhecer que os próprios atacantes também estão incorporando inteligência artificial às suas operações. Ferramentas baseadas em IA podem ajudar hackers a otimizar campanhas de phishing, gerar códigos maliciosos mais ofuscados, automatizar movimentos laterais e até analisar ambientes comprometidos para encontrar alvos mais valiosos dentro da rede. Isso faz com que o cenário de ameaça evolua em um ciclo constante, em que defensores e atacantes se beneficiam das mesmas tecnologias, elevando o nível de complexidade dos ataques e da defesa.
Diante desse quadro, a cooperação entre empresas especializadas em segurança e o uso combinado de conhecimento humano e automação tornam-se elementos essenciais. Parcerias estratégicas permitem integrar tecnologias de detecção avançada, serviços de resposta a incidentes e consultoria em arquitetura segura, ajudando organizações a se preparar para ataques cada vez mais orientados por IA e protagonizados por grupos sofisticados de espionagem.
Para organizações que operam infraestruturas críticas ou armazenam grandes quantidades de dados sensíveis, algumas práticas se destacam como prioridade:
– Revisar regularmente a segurança de servidores Linux, com foco na camada PAM e nos mecanismos de autenticação.
– Implementar monitoramento contínuo de credenciais privilegiadas e de logins administrativos.
– Adotar modelos de Zero Trust e segmentação rigorosa de rede, reduzindo a superfície de movimentação lateral.
– Investir em soluções de detecção e resposta que façam uso de IA e análise comportamental.
– Realizar exercícios periódicos de caça a ameaças (threat hunting) para identificar sinais de presença prolongada de invasores.
A história da Operation Highland é um alerta claro: confiar apenas em barreiras externas ou em suposições de “segurança por isolamento” já não é suficiente. Grupos como o Velvet Ant demonstram que, uma vez conquistado o primeiro ponto de apoio, a prioridade passa a ser permanecer invisível o maior tempo possível, adaptando-se a cada tentativa de erradicação e explorando ao máximo qualquer ponto cego dos times de segurança.
Em um cenário em que ataques de espionagem digital se estendem por anos e abusam de camadas profundas do sistema operacional – como a PAM no Linux -, a única resposta viável combina vigilância contínua, validação sistemática de componentes críticos, uso inteligente de IA e uma mudança de mentalidade: não existe ambiente totalmente confiável, e toda autenticação, todo acesso e toda alteração em sistemas sensíveis precisam ser permanentemente questionados.