Un groupe de cyberespionnage, connu sous le nom de Velvet Ant et soupçonné d’être lié à la Chine, a réussi à infiltrer un réseau isolé pendant près de dix ans sans être détecté, selon l’entreprise de cybersécurité Sygnia. Cette opération, appelée « Highland », a permis aux attaquants de manipuler les systèmes internes de l’organisation ciblée, en remplaçant notamment des composants critiques par des versions piégées.
L’essentiel à retenir
- Le groupe Velvet Ant est suspecté d’avoir infiltré un réseau isolé sans connexion Internet, opérant en toute discrétion pendant près de dix ans.
- Les attaquants ont remplacé les composants d’authentification Linux par des versions modifiées pour capter les identifiants sur les machines compromises.
- Sygnia recommande une surveillance stricte des composants critiques comme PAM et OpenSSH pour prévenir ce type d’intrusion.
Les méthodes d’intrusion du groupe Velvet Ant
Depuis 2016, Velvet Ant a maintenu un accès clandestin dans un réseau isolé, pourtant dépourvu de connexion Internet. Les premiers indices de l’intrusion ont été découverts sur des serveurs exposés en ligne, où les attaquants ont introduit une version modifiée de l’outil GS-Netcat, rebaptisé auditdb, pour se dissimuler parmi les utilitaires légitimes.
Les cybercriminels ont également mis en place un proxy SOCKS5 pour acheminer le trafic vers des systèmes inaccessibles depuis l’extérieur. Ils ont exploité une chaîne Nginx et FastCGI pour contourner l’isolement du réseau, permettant le lancement d’un binaire sur mesure qui établissait des connexions SSH vers l’infrastructure critique.
Manipulation des composants Linux pour l’espionnage
Dans cette opération de longue haleine, Velvet Ant a remplacé deux couches essentielles d’authentification Linux : les modules PAM et les binaires OpenSSH. Ce changement leur a offert un accès illimité aux identifiants et commandes saisies sur les machines compromises.
Neuf variantes du fichier pam_unix.so ont été identifiées, témoignant de l’ampleur des modifications. Les attaquants ont également altéré les binaires ssh, sshd et scp pour enregistrer les identifiants et frappes clavier des utilisateurs, tout en contournant leur propre piste.
Les défis de la restauration et les recommandations de Sygnia
Sygnia a dû créer un environnement de test pour restaurer les systèmes compromis sans perturber l’accès aux machines. Les composants sains ont été transportés manuellement vers les hôtes, avec des procédures de retour en arrière prévues pour chaque configuration.
Pour prévenir de telles intrusions, Sygnia conseille de traiter les composants critiques, comme PAM et OpenSSH, avec une attention particulière. Une authentification multifacteur, appliquée avant l’accès aux hôtes, est également recommandée pour renforcer la sécurité.
Les avancées technologiques en cybersécurité en 2026
En 2026, les technologies de cybersécurité ont évolué pour mieux contrer les menaces sophistiquées. Les solutions basées sur l’IA et le machine learning sont désormais courantes pour détecter les comportements anormaux dans les systèmes, permettant une réponse plus rapide aux attaques potentielles.
Les entreprises investissent également dans des infrastructures de sécurité zero trust, où chaque accès est strictement vérifié, indépendamment de l’appareil ou de l’utilisateur. Cette approche permet de réduire considérablement les risques d’intrusions non autorisées.
L’impact des cyberattaques sur les infrastructures critiques
Les cyberattaques sur les infrastructures critiques, telles que celles des secteurs de l’énergie, des transports ou des télécommunications, représentent une menace grandissante. Des incidents comme ceux impliquant Velvet Ant soulignent la nécessité d’une vigilance accrue et d’une collaboration internationale pour renforcer la sécurité de ces secteurs.
Des organisations telles que l’Agence européenne de la cybersécurité (ENISA) et le National Institute of Standards and Technology (NIST) aux États-Unis travaillent à l’élaboration de normes et de directives pour aider les entreprises à mieux se protéger contre ces menaces omniprésentes.






