Velvet Ant : APT chinois dans Linux PAM pendant dix ans

Une décennie cachée dans les couches d'authentification Linux

Les chercheurs de la société de cybersécurité Sygnia ont publié jeudi 12 juin 2026 un rapport détaillant l'une des campagnes d'espionnage les plus persistantes et les plus furtives identifiées ces dernières années. Le groupe qu'ils traquent sous le nom de Velvet Ant, attribué avec un niveau de confiance élevé à un acteur étatique lié à la Chine, a su s'enfouir pendant près de dix ans dans les composants les plus sensibles du système d'exploitation Linux : le module PAM (Pluggable Authentication Module) et la suite OpenSSH.

Les premières traces d'activité remontent à 2016. À cette époque, l'attaquant avait déjà positionné ses accès initiaux via des systèmes exposés sur Internet, puis progressé latéralement vers des réseaux à air gap — c'est-à-dire des réseaux sans connexion directe à Internet — pour y implanter ses outils. La stratégie de Velvet Ant se distingue radicalement des approches classiques : plutôt que de déposer de nouveaux fichiers malveillants susceptibles d'être détectés par des scanners ou des solutions de détection et réponse (EDR), le groupe a choisi de modifier les programmes de confiance déjà en place sur les systèmes cibles.

PAM est le composant qui décide, sous Linux, de qui est autorisé à se connecter et comment. Il s'insère dans le processus de connexion de pratiquement tous les services — SSH, su, sudo, login — ce qui en fait un point de contrôle stratégique absolu. En remplaçant le module PAM légitime par une version backdoorée, Velvet Ant obtenait un accès universel, persistant et difficile à déloger même lors d'opérations de nettoyage classiques. Certaines variantes du module malveillant permettaient à l'attaquant de s'authentifier avec un mot de passe secret connu de lui seul ; d'autres enregistraient silencieusement les identifiants et mots de passe réels des utilisateurs légitimes au moment de leur connexion.

Sygnia a identifié neuf variantes distinctes du module PAM malveillant. Chaque variante avait été compilée dans un environnement de build séparé, une technique délibérée visant à brouiller les pistes forensiques et à éviter la corrélation entre les incidents. Cette discipline opérationnelle pointe vers un acteur de premier plan, disposant de ressources importantes et d'un personnel dédié à la conception et à la maintenance de ses outils.

Les modifications apportées à la suite OpenSSH suivaient la même logique. Les programmes sshd et ssh-keygen ont été altérés pour journaliser les identifiants de connexion et chaque commande saisie par les administrateurs, avec un interrupteur caché permettant à l'attaquant de désactiver cette journalisation à la demande pour effacer ses traces en temps réel. Cette capacité à contrôler la génération de logs depuis l'intérieur même du système d'authentification conférait à Velvet Ant une visibilité totale sur les opérations de l'organisation ciblée, tout en maintenant une empreinte quasi invisible pour les équipes de sécurité défensive.

Le réseau ciblé par cette campagne ne disposait d'aucune connexion directe à Internet. Pour y accéder, Velvet Ant avait d'abord compromis des systèmes en bordure de périmètre, exposés sur le Web, pour en faire des points de rebond (staging points) permettant d'atteindre le cœur du réseau isolé. Cette approche multi-étapes témoigne d'une planification et d'une patience remarquables, caractéristiques des groupes APT (Advanced Persistent Threat) les plus sophistiqués.

Le rapport de Sygnia ne divulgue pas l'identité précise de l'organisation victime, ni le secteur d'activité concerné, invoquant des raisons de confidentialité client. Les éléments techniques partagés publiquement — indicateurs de compromission, hachages des binaires modifiés, comportements observés — suffisent néanmoins à permettre aux équipes de sécurité du monde entier de vérifier si leurs propres environnements sont affectés. D'après les chercheurs, la détection de la campagne est intervenue lors d'une opération de réponse à incident, sans préciser si l'attaquant avait alors été neutralisé ou si des composants résiduels demeuraient actifs.

Cette découverte intervient dans un contexte de multiplication des attaques ciblant la couche d'authentification des systèmes Unix et Linux. En mai 2026, une autre campagne, distincte, avait été documentée sous le nom PamDOORa, exploitant également les modules PAM pour dérober des identifiants SSH sur des serveurs Linux. La convergence de ces deux campagnes indépendantes, toutes deux axées sur PAM comme vecteur de persistance, confirme que ce composant est désormais une cible de choix pour les acteurs offensifs les plus avancés.

Pourquoi backdoorer PAM représente une menace existentielle pour la sécurité Linux

Le choix de PAM comme vecteur de persistance n'est pas anodin. PAM est une couche d'abstraction fondamentale de Linux, présente sur pratiquement toutes les distributions d'entreprise — Red Hat, Debian, Ubuntu, SUSE — depuis la fin des années 1990. Sa position dans la chaîne d'authentification est unique : tout processus de connexion passe par PAM, qu'il s'agisse d'un accès SSH, d'une élévation de privilèges via sudo, ou d'une authentification applicative. Compromettre PAM équivaut à compromettre la confiance fondamentale que le système accorde à ses propres mécanismes de sécurité.

Les solutions de sécurité traditionnelles sont peu armées pour détecter ce type de compromission. Un antivirus ou un scanner de malware cherche des fichiers connus malveillants. Or, dans cette campagne, les fichiers malveillants sont des versions modifiées de binaires légitimes, signés avec les mêmes droits d'accès système. Seule une vérification cryptographique systématique de l'intégrité des binaires — en comparant leurs hachages SHA-256 aux hachages officiels publiés par les mainteneurs des distributions — permet de détecter la substitution. C'est précisément le principe du File Integrity Monitoring (FIM), une capacité souvent sous-dimensionnée dans les environnements Linux d'entreprise.

L'aspect airgap de cette affaire est particulièrement préoccupant pour les opérateurs d'infrastructure critique — énergie, eau, transport, défense — qui misent précisément sur l'isolation réseau comme principale mesure de sécurité. Velvet Ant démontre que cette approche, si elle est mal gérée, ne constitue pas une barrière insurmontable pour un attaquant patient et bien organisé. La compromission initiale d'un seul système connecté à la périphérie suffit à ouvrir la voie vers l'intérieur du réseau isolé, puis à s'y ancrer durablement en modifiant les composants d'authentification.

Sur le plan géopolitique, la persistance documentée de Velvet Ant depuis 2016 place cette campagne parmi les opérations d'espionnage cyber les plus longues jamais attribuées publiquement. Les précédents comparables incluent les campagnes Equation Group documentées par Kaspersky en 2015, ou les infiltrations de Turla dans les réseaux gouvernementaux européens. La publication par Sygnia de ce rapport en juin 2026 soulève aussi la question de savoir combien de réseaux similaires pourraient encore héberger des variantes non détectées de ce backdoor.

Ce qu'il faut retenir

• Vérifier l'intégrité cryptographique des binaires PAM et OpenSSH sur tous vos systèmes Linux, en comparant les hachages aux versions officielles de votre distribution.
• Déployer ou renforcer une solution de File Integrity Monitoring (FIM) sur les binaires d'authentification système critiques.
• Ne pas considérer l'isolation réseau (airgap) comme une protection suffisante sans une stratégie de sécurité défensive en profondeur, incluant la surveillance des systèmes exposés sur Internet qui constituent des points d'entrée potentiels.