中国黑客组织替换Linux登录模块潜伏十年

安全事件响应公司 Sygnia 本周发布调查报告，揭露了一起持续近十年的高级别入侵事件。一个被称为 Velvet Ant 的中国关联黑客组织，通过替换 Linux 系统的核心登录组件，在目标组织的敏感网络中保持隐蔽访问长达九年多。Sygnia 将此次行动命名为“高地行动”。

攻陷认证栈

Velvet Ant 并没有使用单一的恶意软件植入点——那样容易被清除。相反，他们在多台主机上替换了 Linux 可插拔认证模块（PAM）中的 pam_unix.so（负责密码校验）以及多个 OpenSSH 二进制文件，植入后门版本。这使得攻击者能绕过正常认证，以任意用户身份登录，同时内置键盘记录功能，在管理员输入密码时捕获合法凭证。

Sygnia 发现了九个不同的恶意 PAM 模块变种，每个都在独立的构建环境中编译，说明这是一个资源充足、精心策划的行动。被篡改的 SSH 二进制文件带有一个自定义标志，用于抑制自身记录凭证的行为，让操作者在活跃操作中减少留下取证痕迹。

目标网络没有直接连接互联网。Velvet Ant 通过多阶段横向移动路径侵入：先攻陷面向互联网的服务器，然后利用修改版的 GS-Netcat（更名为 auditdb，放入 /usr/sbin/ 目录伪装成系统工具）通过企业 IT 网络隧道进入。

清除风险异常高

由于攻击者控制了远程访问和系统管理的组件，标准的安全隔离措施难以奏效。后门在密码更改和会话终止后仍能存活。Sygnia 强调，在生产系统上错误替换被篡改的二进制文件可能导致管理员彻底无法登录；必须在重置密码之前移除后门，否则攻击者会立即捕获新密码。

该安全公司建议：监控 PAM 模块和 OpenSSH 二进制文件的非预期更改；将登录相关文件与已知良好基线比对；查找非授权的 authorized_keys 条目。

熟悉的模式

这不是 Sygnia 首次记录 Velvet Ant 的持久化入侵手法。此前该组织曾被发现滥用 F5 BIG-IP 设备，并利用 Cisco NX-OS 零日漏洞 CVE-2024-20399 在 Nexus 交换机上植入后门。一致的规律是：一旦被发现，Velvet Ant 会迅速转移到监控较少的其他基础设施。

这份报告发布之际，正值美国安全界密集警告中国针对关键基础设施的网络行动。CrowdStrike 本周报告称，在2025年4月至2026年3月期间，中国关联的对手推动了58%以上的针对科技实体的国家支持入侵活动。