Chinese hackers hijack auth flow, spy on isolated network for a decade

1 minute de lecture

Mis à jour : June 13, 2026

Opération Highland : Une décennie d’espionnage par Velvet Ant

Le groupe de cyberespionnage chinois « Velvet Ant » a maintenu un accès persistant pendant dix ans au sein d’une infrastructure critique, en compromettant des systèmes exposés sur Internet pour s’infiltrer dans un réseau isolé (air-gapped).

Points clés :

Stratégie de pivot : Après avoir pris pied sur des serveurs internet, les attaquants ont utilisé des proxies SOCKS5 personnalisés pour naviguer latéralement.
Accès au réseau isolé : L’accès a été rendu possible via le chaînage de requêtes HTTP transmises par des serveurs Nginx compromis, redirigeant les commandes vers des processus internes (FastCGI/fcgiwrap).
Détournement de l’authentification : Le groupe a remplacé les modules PAM (Pluggable Authentication Modules) et les composants OpenSSH par des versions malveillantes. Cela leur a permis de récolter des identifiants en temps réel et de contourner les mesures de sécurité classiques, rendant leur présence invisible aux administrateurs.
Difficulté de remédiation : L’imbrication des composants malveillants dans le cœur du système a nécessité une planification rigoureuse pour éviter de bloquer l’accès légitime lors du nettoyage.

Vulnérabilités : Bien que l’article mentionne des exploitations passées, il cite spécifiquement :

Cisco NX-OS : Utilisation d’une vulnérabilité zero-day (non spécifiée par CVE dans le texte) sur des switchs Nexus.
F5 BIG-IP : Campagnes antérieures utilisant des failles non détaillées sur ces équipements.

Recommandations :

Sécurisation des composants critiques : Traiter PAM, OpenSSH et LSASS comme des actifs de haute sécurité, sous surveillance étroite (EDR, intégrité des fichiers).
Gestion des accès : Implémenter une authentification multifacteur (MFA) robuste et durcir les accès à privilèges.
Stratégie de récupération : Mettre en place des sauvegardes immuables et planifier des procédures de restauration hors ligne testées régulièrement.
Monitoring : Détecter toute modification non autorisée des bibliothèques système et des configurations de services web utilisés pour le routage interne.

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

Chinese hackers hijack auth flow, spy on isolated network for a decade

Opération Highland : Une décennie d’espionnage par Velvet Ant

Partager sur

Vous pourriez aimer

U.S. Orders Anthropic to Suspend Fable 5 and Mythos 5 Access for Foreign Nationals

Restrictions imposées par les États-Unis sur les modèles d’IA d’Anthropic

US Gov asks Anthropic to ban foreign national access to Fable, Mythos

Restriction des modèles d’IA Anthropic pour des raisons de sécurité nationale

Over 400 Arch Linux AUR Packages Hijacked to Deploy Infostealer and eBPF Rootkit

Compromission massive de paquets AUR : campagne “Atomic Arch”

Maine disables data breach notification portal after fake disclosures

Désactivation du portail de notification des violations de données du Maine suite à des signalements frauduleux