La amenaza persistente avanzada (APT) bautizada como Velvet Ant ha llevado a cabo una de las operaciones de ciberespionaje más prolongadas y sigilosas de la última década. Según los investigadores de Sygnia, la firma que ha sacado a la luz la campaña ‘Operación Highland’, el grupo —atribuido a actores estatales chinos— se infiltró en la red aislada sin conexión a internet de una gran infraestructura crítica y mantuvo un acceso ininterrumpido durante diez años, viendo cada inicio de sesión y cada comando administrativo. El caso recuerda, por persistencia y sofisticación, a los peores capítulos de SolarWinds, aunque con una firma técnica muy distinta.
De la intrusión perimetral al puente de ejecución remota
El ataque comenzó en 2016 con la vulneración de varios servidores accesibles desde internet. Aunque Sygnia no detalla el producto exacto ni la vulnerabilidad utilizada, el salto inicial consistió en desplegar un shell reverso basado en GS-Netcat, disfrazado como un componente legítimo del sistema y conectado a un dominio de mando. La persistencia se afianzó mediante servicios systemd maliciosos o la modificación de scripts de arranque.
Para moverse lateralmente y alcanzar la red carente de conexión directa, los atacantes instalaron un proxy SOCKS5 a medida, que se ejecutaba como demonio bajo el falso nombre de ‘smbd -D’. Cada servidor comprometido se convertía así en un punto de pivote interno hacia otros sistemas.
El paso más ingenioso fue la construcción de un camino de ejecución remota hacia la red aislada. Velvet Ant reconfiguró un servidor Nginx expuesto para que redirigiera peticiones HTTP especialmente adulteradas a un servidor backend. Éste, a su vez, reenviaba las peticiones a un proceso FastCGI (fcgiwrap) que actuaba como puente de ejecución, lanzando un binario personalizado llamado ‘uptime’. Esta herramienta establecía conexiones SSH hacia los equipos del entorno crítico usando los parámetros suministrados en las peticiones HTTP.
Una vez dentro del segmento de red segregado, los intrusos abandonaron las tácticas iniciales y se centraron en la persistencia de largo recorrido y en el robo masivo de credenciales.
Anatomía del backdoor PAM y la captura de cada contraseña
El núcleo de la operación —y lo que la hace verdaderamente excepcional— fue la sustitución de los módulos legítimos de Pluggable Authentication Modules (PAM) por versiones manipuladas. La biblioteca ‘pam_unix.so’ fue reemplazada por nueve variantes maliciosas distintas, cada una compilada en entornos separados, prueba inequívoca de un actor con recursos abundantes.
Dos de esos módulos destacan por su doble función: actuaban como backdoor puro para aceptar contraseñas predefinidas y, al mismo tiempo, capturaban todas las credenciales de los administradores. El resto de variantes añadía capacidades adicionales de robo y persistencia.
Los atacantes no se detuvieron ahí. También reemplazaron los binarios de OpenSSH —ssh, sshd y scp— con versiones troyanizadas que registraban cada comando tecleado durante las sesiones y almacenaban las credenciales para su posterior recuperación. Insertarse en el flujo de autenticación les garantizaba acceso perpetuo, incluso tras cambios de contraseña, y dejaba sin efecto las contenciones convencionales.
Los investigadores de Sygnia resumen la gravedad con una frase que define la campaña: “La actividad administrativa se volvió completamente observable: cada inicio de sesión, cada orden ejecutada en los hosts comprometidos. El acceso ya no dependía de un punto concreto, sino que estaba incrustado en el propio proceso de autenticación”. La limpieza posterior resultó tan compleja que fue necesario montar un laboratorio de pruebas para validar la sustitución de los componentes sin bloquear a los administradores legítimos o causar paradas operativas.
He escrito en varias ocasiones que el próximo 11S no empezará con un avión, sino con un clic. Velvet Ant lo ha demostrado durante una década, sin que nadie lo viera hasta hoy.
Dossier Moncloa: Ojos en la Sombra
El vector de amenaza que ilustra ‘Operación Highland’ es un ciberataque de tipo APT, combinando la intrusión en sistemas expuestos con la ingeniería de túneles de ejecución hacia redes sin internet. El objetivo no era el sabotaje, sino el espionaje prolongado e invisible. La autenticación como activo crítico —y no un mero trámite— queda aquí subrayada con la fuerza de una década de ceguera.
Las agencias implicadas son claras, aunque la atribución oficial china no llegará. Velvet Ant es un grupo de ciberespionaje vinculado consistentemente a la República Popular China, probablemente bajo el paraguas del Ministerio de Seguridad del Estado (MSS). El defensor es la organización dueña de la infraestructura crítica, cuyo nombre no ha trascendido. Como tercero interesado, el CNI y el CCN-CERT ya monitorizan este tipo de tácticas, especialmente tras los recientes incidentes en el sector energético europeo. La frontera digital española es porosa, y un backdoor en PAM podría anidar durante años en cualquier empresa estratégica sin ser detectado.
El precedente histórico que aquí evoco es el sufrido por SolarWinds, donde la cadena de suministro de software fue comprometida para acceder a miles de organizaciones, también en entornos de alta seguridad. Pero Velvet Ant no necesitó un proveedor externo: fue directo a las tripas del sistema de autenticación. Es un salto cualitativo en tradecraft: ya no se roban credenciales sueltas, se vampiriza el proceso que las valida. En España, los operadores de infraestructuras críticas —hay más de 8.000, como recordé en El quinto elemento— deberían revisar sus módulos PAM y SSH con un escrutinio que pocos aplican hoy.
El nivel de clasificación estimado del material implicado en la operación y de los propios informes de Sygnia se situaría, a mi juicio, en la categoría de Secreto o superior, dada la naturaleza de una intrusión de Estado de diez años sobre infraestructuras críticas. La pregunta abierta es cuántas otras redes, posiblemente españolas, albergan desde hace años un PHANTOM de estas características sin que lo sepamos. El próximo informe de verificación del CNI al Comité de Secretos Oficiales sería una buena ocasión para pedir explicaciones.
De mi experiencia en el sector, dejo un apunte: la persistencia a década larga que consiguió Velvet Ant demuestra que la monitorización tradicional de sistemas aislados es insuficiente. Si el atacante controla el flujo de autenticación, ninguna rotación de contraseñas lo va a expulsar. Los investigadores de Sygnia recomiendan tratar PAM, OpenSSH y LSASS en Windows como activos críticos protegidos con EDR, monitorización de integridad y accesos privilegiados reforzados. Un consejo que en La Moncloa y en Castelló ya se ha escuchado, pero que todavía no se ha traducido en una directiva de obligado cumplimiento para todos los operadores estratégicos.
