中国ハッカーVelvet Ant、認証フローを乗っ取り隔離されたネットワークを10年にわたりスパイ

中国ハッカーVelvet Ant、認証フローを乗っ取り隔離されたネットワークを10年にわたりスパイ

BleepingComputer – June 13, 2026

中国のサイバースパイグループ「Velvet Ant」によるものとみられる長期のシステム潜入事例について、Sygniaが報告。「Operation Highland」と名付けられたこのスパイ攻撃では、攻撃者がある組織の認証スタックを乗っ取り、10年間にわたってアクセスを維持していたという。

Sygniaによると、Operation Highlandが開始されたのは2016年。Velvet Antはある大規模組織の隔離された重要インフラエアギャップネットワークを侵害するため、まずはインターネットに接続された脆弱な別のシステムを標的にしたとされる。

インターネット接続されたサーバーの侵害

Velvet Antはこのインターネットに面したサーバーを侵害すると、正規のシステムコンポーネントに見せかけた改変版GS-Netcatリバースシェルを展開。このリバースシェルが、ハードコードされたリレードメインに接続して暗号化されたリモートシェルアクセスを提供する役割を担ったとされる。このシェルはまた、悪意あるsystemdサービスを利用するか、起動スクリプトを改変することによって永続化も実現している。

次にVelvet Antは、ネットワークトラフィックのトンネリングおよびラテラルムーブメントを行うために、Perlで書かれたカスタムのSOCKS5プロキシをインストール。これにより、インターネットから直接アクセスすることのできない隔離された内部システムへの到達が可能になったとされる。このプロキシは、「smbd -D」を装ったデーモンとして実行され、ホストごとに異なるファイル名とポートを使用することで、侵害されたサーバーを内部のピボットポイントへと転用していたという。

隔離された重要インフラネットワークへの展開

Velvet Antは、追加の侵入経路としてインターネットに接続されたNginxサーバーも悪用。同アクターはNginxの設定を改変し、特定のURLへのすべての受信リクエストがバックエンドサーバー上の同じURLへ中継されるようにした。このバックエンドサーバーも同じく侵害されており、攻撃者によってNginx設定が改変され、別のポートでリスニングしているFastCGIプロセス（公開リポジトリ「fcgiwrap」をベースにした「fcgiwrap」）へリクエストを転送する設定になっていたという。

Sygniaは、「このFastCGIラッパーが実行の橋渡し役になった」と説明している。同ラッパーは特定URLへのリクエストを処理し、「uptime」と名付けられたカスタムバイナリを実行。このバイナリは、メインの標的である重要インフラネットワーク内のサーバーへのSSH接続を確立するために設計されたツールで、HTTP POSTリクエストで指定されたパラメータを使用してこの接続を確立すると、標的デバイス上でスクリプトを実行したとされる。これにより、Velvet Antは標的組織のシステムから機密情報を取得することが可能となった。

PAMとOpenSSHの改変

こうしてエアギャップ環境へのアクセスが確立されると、Velvet Antは長期の永続性確保および認証情報の窃取へとフォーカス。このために、Linux PAM（Pluggable Authentication Modules）を標的にしたとされる。PAMはユーザー認証メソッドのセットアップに使われるライブラリのセットで、攻撃者はこの正規の「pam_unix.so」モジュールをバックドアバージョンに置き換えた。バックドアバージョンは9種類特定されており、ハードコードされたパスワードを許可するものや、ユーザーがログインした際に密かに正規のユーザー名とパスワードを記録するものなどがあったとされる。いずれの悪性モジュールも別のビルド環境でコンパイルされていたことから、リソースを豊富に持つ脅威アクターの関与が示唆されていたという。

また、sshやsshd、scpなどのOpenSSHコンポーネントもトロイの木馬バージョンに置き換えられていたとSygniaは伝えている。これらの悪性バージョンにより認証情報が捕捉されていたほか、SSHセッション中に入力されたコマンドが記録されたり、収集されたデータが将来取得できるようローカルで保存されたりしていたという。

ログインスタックがバックドアとなる恐ろしさ

このようにPAMとOpenSSHコンポーネントを改変することで、Velvet Antは掌握範囲を認証プロセスにまで広げ、標的環境で使われた認証情報へのアクセスを成功させていたほか、認証フローをバイパスすることも可能になっていたとされる。

攻撃者は認証スタックを掌握することで、あらゆるログインや実行されるコマンドなど、すべてを観測可能な状態だったとSygniaは説明。認証プロセスそのものにアクセスを埋め込むことで、パスワードが変更されたりセッションが終了されたりしても永続性を確保できるようになっており、防御側による従来型の抑え込み措置の効果を打ち消すことができる状態だったという。現にSygniaも、侵害を緩和し環境からVelvet Antを排除するのは特に難易度の高い作業だったと述べている。

こうした攻撃への対策として、PAMやOpenSSH、Windows LSASSなどの認証コンポーネントを重要なセキュリティ資産として扱い、EDRやファイル整合性監視、特権アクセスの堅牢化、多要素認証（MFA）、また不正な改変の継続的なモニタリングによってこうした資産を保護するようSygniaは推奨している。また、厳格なバックアップ体制を構築するなど、オフラインでの復旧に向けた計画を立てることも求められるとのこと。