Un grupo de ciberespionaje vinculado a China mantuvo acceso oculto durante casi una década dentro de la red de una organización de infraestructura crítica, comprometiendo lo que casi nadie audita: la propia capa de autenticación de Linux. Según reveló la firma Sygnia el 8 de junio de 2026, los atacantes troyanizaron módulos PAM y binarios de OpenSSH para capturar credenciales y entrar y salir a voluntad, con visibilidad total de la actividad administrativa.
Un backdoor donde los defensores no miran
La operación —que Sygnia rastrea bajo el nombre «Operation Highland» y atribuye a un actor de nexo chino conocido como Velvet Ant— se apoyó en versiones maliciosas de pam_unix.so, el módulo que valida las contraseñas en la mayoría de los sistemas Linux. Esas variantes permitían entrar con una contraseña maestra y, a la vez, registrar de forma silenciosa cada usuario y clave tecleados en logins legítimos. A eso le sumaron binarios de OpenSSH modificados que capturaban credenciales de las conexiones entrantes y salientes.
La elección no es casual: PAM y SSH se ejecutan en cada inicio de sesión de cada host, no generan alertas cuando están troyanizados y su actividad es indistinguible de la de un administrador legítimo. Es el lugar perfecto para esconderse, porque es exactamente donde la mayoría de los esquemas de monitoreo asumen que todo está limpio.
Diez años dentro de una red aislada
Lo más perturbador del caso es la duración: la presencia se remonta aproximadamente a 2016 y recién fue descubierta en 2026, sobre una red segmentada y parcialmente aislada de internet. Los atacantes encadenaron sistemas expuestos hacia afuera con servidores internos para sortear la separación de red, y combinaron las puertas traseras de autenticación con técnicas de ocultamiento —nombres de proceso falsificados, marcas de tiempo copiadas de archivos legítimos del sistema y almacenamiento de credenciales en rutas poco visibles— para no levantar sospechas durante años.
Los «básicos» también se auditan
El incidente deja una lección que aplica mucho más allá de la víctima puntual: controlar la autenticación es, en la práctica, controlar todo el ecosistema, y ni la segmentación ni el monitoreo estándar alcanzaron para detectarlo. Sygnia recomienda auditar la integridad de la pila de autenticación —módulos PAM, binarios de SSH, authorized_keys— contra una línea base confiable, y sumar registro centralizado independiente de esos componentes potencialmente comprometidos. La idea de fondo es incómoda pero útil: lo que damos por más blindado —el login— es justamente lo que conviene revisar. ¿Cuándo fue la última vez que verificaste la integridad de los módulos de autenticación de tus servidores? Te leemos en los comentarios.
Fuentes
- Sygnia — Operation Highland: how a China-nexus actor infiltrated an internal network undetected (informe original)
- BleepingComputer — Chinese hackers hijack auth flow, spy on isolated network for a decade
- Help Net Security — China-linked spies backdoored authentication stack to stay hidden for years
