文章总结： Sygnia披露代号OperationHighland的网络间谍活动，与中国关联的VelvetAnt组织入侵物理隔离的关键基础设施网络并潜伏近十年。攻击通过三阶段实现：攻陷互联网服务器建立据点，利用Nginx代理链突破隔离，最终篡改PAM和OpenSSH认证组件实现隐身驻留。报告指出攻击者控制认证流程使传统防御失效，建议将认证组件视为关键安全控制并部署EDR等补偿措施。 综合评分： 87 文章分类： 威胁情报,漏洞分析,应急响应,安全运营,红队

“高地行动”：针对隔离网络长达十年的网络入侵活动

原创

网空闲话 网空闲话

网空闲话plus

2026年6月14日 08:18 北京 标题已修改

在小说阅读器读本章

去阅读

2026年6月11日，网络安全公司Sygnia披露了一项代号为“Operation Highland”的长期网络间谍活动。根据Sygnia的调查结论，一个被其追踪为“Velvet Ant”、与东大有关联的威胁行为体，成功入侵了一个与互联网物理隔离的关键基础设施网络，并在其中潜伏了近十年。Sygnia表示，其最早发现的取证痕迹可追溯至2016年。这场隐秘行动因其高超的技术复杂度、对认证机制的根本性控制以及漫长的潜伏周期，引发了业界对网络防御有效性的深刻反思。

一、背景：Sygnia眼中持续演进的威胁

根据Sygnia的追踪记录，Velvet Ant并非一个陌生的名字。Sygnia指出，该组织在此前多项调查中展现出高度的技术适应性：

• 在更早的活动中，Sygnia曾记录该组织滥用F5 BIG-IP设备和遗留的Windows基础设施来维持长期驻留。
• 2024年，Sygnia再次发出警告，Velvet Ant针对F5 BIG-IP设备的入侵活动在未被发现的情况下运行了长达三年。
• 同样在2024年，思科警告称，Velvet Ant利用NX-OS系统中的零日漏洞（CVE-2024-20399），在Cisco Nexus交换机上部署了名为“VELVETSHELL”的混合后门。Sygnia也发布了包含检测与预防指引的详细通告。

Sygnia总结称，这些活动的共同模式是：一旦Velvet Ant的入侵据点受到威胁或引起注意，该组织就会向监控较少的基础设施深处迁移，并从新的立足点重建持久性。而“Operation Highland”则将这一模式推向了新的极端。Sygnia特别指出，本次攻击的目标网络没有直接的互联网连接，但攻击者“没有直接进入该网络的路径，却最终还是设法到达了那里”。

二、攻击路径：Sygnia还原的三级跳

Sygnia的调查报告详细还原了Velvet Ant精心设计的多阶段访问链条。Sygnia将这一过程划分为三个阶段。

第一阶段：攻陷面向互联网的系统并建立据点

Sygnia发现，攻击始于对目标组织面向互联网的服务器的渗透。虽然Sygnia的报告未指明初始入侵所使用的具体产品或漏洞，但其清晰地揭示了攻击者建立滩头阵地的技术细节。

关于GS-Netcat反向Shell：Sygnia分析团队发现，攻击者部署了一个修改版的GS-Netcat。Sygnia解释称，GS-Netcat是Global Socket Toolkit的一部分，一个公开的网络工具，能通过Global Socket Relay Network（GSRN）创建加密、隐蔽的反向Shell。为了隐藏自身，该二进制文件被命名为auditdb，放置在/usr/sbin/目录下，以模仿合法的系统工具。Sygnia通过逆向分析发现，其C2服务器域名被硬编码为%.gs.thc[.]org格式，其中%代表a-z之间的单个字符——这正是GS-Netcat背后组织“The Hacker’s Choice”的典型中继基础设施。为了逃避进程列表检测，Sygnia观察到攻击者覆盖了argv[0]参数为[khubd]，使其在进程列表中伪装成合法的内核线程。

关于持久化机制：Sygnia识别出攻击者根据服务器操作系统版本采用了不同方法：

• 在运行systemd的新服务器上，攻击者在/lib/systemd/system/目录下放置了一个伪装成Chrome服务的恶意单元文件，确保恶意软件在系统启动时执行。Sygnia在报告中展示了该单元文件的片段，其中执行了auditdb工具。
• 在运行SysVinit的旧服务器上，攻击者将恶意执行命令追加到/etc/init.d/目录下的现有启动脚本中。

关于SOCKS5代理：Sygnia还发现，攻击者部署了一个用Perl编写的自定义SOCKS5代理服务器，用于网络流量隧道通信，从而实现横向移动。Sygnia分析表明，该脚本是基于GitHub上的ssspl项目修改而来。它通过fork自身作为后台守护进程运行，并通过操纵argv[0]参数，将进程名伪装成smbd -D——这是合法的SMB守护进程名称。Sygnia特别指出，在不同主机上，该代理使用了不同的文件名、进程名和监听端口，这使得跨主机的识别与关联变得极为困难。Sygnia在报告中展示了该脚本的片段，显示了自定义端口、自定义进程名以及作为守护进程的执行方式。

第二阶段：通过IT网络向关键基础设施区域“跳跃”

Sygnia认为，这是突破物理隔离假设的关键一步。Sygnia的调查显示，攻击者利用了一个面向互联网的Nginx服务器作为额外的入口向量：

1. 攻击者修改了该Nginx服务器的配置，将对特定URL的请求代理到一个同样被入侵的后端服务器。Sygnia在报告中展示了该Nginx配置片段，显示HTTP请求被代理到后端服务器。
2. 后端服务器的Nginx配置同样被修改，将请求进一步转发到一个监听在独立端口上的FastCGI进程（fcgiwrap，基于公共fcgiwrap仓库）。Sygnia展示了后端服务器Nginx配置的片段，显示请求被转发到FastCGI。
3. 这个FastCGI包装器充当了一个“执行桥”。Sygnia发现，它处理指向特定URL的请求，并执行一个名为uptime的自定义二进制文件。
4. 该uptime工具能够根据HTTP POST请求中提供的参数，向关键基础设施网络内的服务器发起SSH连接，执行脚本并窃取信息。

Sygnia在报告中对此过程的总结是：“通过串联这些修改，Velvet Ant通过简单的HTTP请求，就在隔离环境中建立了一条远程执行路径，从未需要与关键基础设施网络建立直接连接。”

第三阶段：操纵认证层，实现隐身与长期驻留

Sygnia强调，这是Operation Highland最具技术深度和战略意图的一步。攻击者并未满足于简单的后门，而是将控制力延伸到了操作系统认证过程的核心，目标直指Linux可插拔认证模块（PAM）和OpenSSH组件。

关于后门化pam_unix.so模块：Sygnia发现，攻击者用恶意修改过的版本替换了系统合法的PAM模块。Sygnia团队识别出九个不同的后门pam_unix.so文件。通过分析嵌入的RPATH（运行时库搜索路径），Sygnia确定每个变体都在独立的编译环境中构建——RPATH指向不同的开发目录，如/home/kevin/Desktop/Linux-PAM-...或/c/src/Linux-PAM-...。Sygnia评论称，这“指向一个资源充足、精心策划的行动”，甚至可能为每个目标定制编译。

Sygnia将这些变体分为两类主要功能：

• 仅认证绕过：接受一个硬编码的后门密码（Pamauth@123456，在二进制中以加密形式存储）。一旦输入，正常验证流程被完全跳过。Sygnia注意到，为了反取证，恶意库在认证绕过后会立即将内存中的密码字符串用NULL值覆盖。Sygnia在IDA反汇编器中展示了该逻辑的片段。
• 绕过+凭据收集：除上述功能外，还会记录合法用户的用户名和密码，保存到隐藏文件/usr/sbin/.ssh.log中，且记录的密码会进行去重以减少冗余。Sygnia展示了记录用户名和密码过程的代码片段，以及密码字符串解密过程的片段。

关于修改OpenSSH套件：Sygnia同时发现，攻击者植入了被篡改的ssh、sshd和scp二进制文件（新版变体还修改了ssh-keygen）。这些套件按操作系统版本分别编译，以确保兼容性。Sygnia详细记录了以下恶意功能：

• 凭据转储：修改后的ssh和sshd会捕获并加密存储所有认证凭据。Sygnia分析显示，每条记录包含连接方向（出站/入站）、认证类型（Kerberos/PAM/SSH2等）、成功状态、用户名、IP和密码，保存至/usr/share/man9/ph/.ph.man。Sygnia展示了解密后的凭据转储示例：[O][C][Y][email protected]:22->password123。
• 键盘记录：修改后的二进制文件会加密记录SSH会话中输入的所有命令。Sygnia发现日志文件根据进程不同分别命名：sshd生成的以s开头加上用户与TTY的MD5哈希；ssh生成的以c开头加上UID与SSH_TTY的MD5哈希。每个日志文件开头记录用户名、TTY、时间戳和IP。Sygnia展示了IDA中恶意键盘记录函数的片段，以及解密后的键盘记录文件示例。
• 自定义-d标志：Sygnia发现攻击者为修改后的ssh二进制添加了特殊的-d标志。当使用此标志连接时，攻击者自身的凭据和键盘记录活动将不会被记录。Sygnia评论称，这实现了攻击者在实时操作中的自我隐身，“这是高操作安全纪律的体现”。
• SELinux禁用：修改后的scp二进制在以root权限执行时，能够检查并禁用SELinux（强制访问控制），为后续的文件访问和传输扫清障碍。Sygnia展示了检查root用户执行以及禁用SELinux的IDA片段。
• 进程隐藏（!标志）：修改后的scp二进制还支持一个自定义的!标志，使用后可将进程名伪装成[kauditd] -sh，模仿合法的Linux审计守护进程。Sygnia展示了该进程隐藏功能的IDA片段。
• 时间戳篡改：Sygnia注意到，所有相关文件及目录（/usr/share/man9/ph/及其内部文件）的创建时间都被修改为与系统文件/etc/shells/的创建时间一致，以规避基于时间线的取证分析。

关于更早的OpenSSH变体（追溯到2016年）：Sygnia还发现了一个较老的OpenSSH变体，其功能相对简单，但正是它提供了追溯攻击起点的关键证据。

• 后门机制：较老变体的sshd不使用单一静态密码，而是维护七个独立的MD5哈希值，每个对应一周中的一天。Sygnia在IDA中展示了这七个加密的MD5哈希值。输入的密码会被哈希并与当日的哈希值比较，匹配则授予访问。
• 凭据存储：窃取的凭据写入/usr/lib/eth-scsi/libethscsi.so，而非新版路径。
• 键盘记录：仅ssh被修改用于键盘记录，功能与新版类似，但日志文件名直接使用时间戳格式（如sam_20160503120000），保存在/var/lib/sam/目录下。Sygnia指出，这种较不成熟的方式使得日志更容易按时间顺序追踪。正是通过对这些直接反映时间戳的日志文件进行分析，Sygnia团队才将攻击者最早的活动痕迹追溯到了2016年。
• 时间戳篡改不彻底：该变体仅对/var/lib/sam/和/usr/lib/eth-scsi/这两个目录进行了时间戳篡改（使用/bin/ls的创建时间），但目录内的文件时间戳未被修改。Sygnia认为，这使得该变体相对更容易通过文件系统时间线分析被发现。

关于authorized_keys滥用：Sygnia还发现，作为第三层持久化机制，攻击者将自己的公钥追加到目标服务器的authorized_keys文件中，提供独立于后门二进制之外的、持久的免密访问。

三、Sygnia的关键评论与发现

Sygnia的研究人员在报告中对此进行了尖锐评论，揭示了Operation Highland的本质。

• 关于攻击者的纪律性：Sygnia指出，攻击者展现出了极高的操作安全纪律。他们不仅有意识地管理自己的取证痕迹（通过-d标志），还为不同环境编译不同版本的恶意软件，对每个变体使用独特的文件名、进程名和端口。Sygnia在博客中写道：“修改后的SSH二进制文件包含一个自定义标志以禁用自身的凭据记录——攻击者在实时操作中积极管理其取证足迹，这是高操作安全纪律的标志。”
• 关于认证层成为最高价值目标：Sygnia明确指出：“攻击并没有止步于维持访问；它扩展到了控制整个环境中认证的工作方式。管理活动变得完全可见：每一次登录；每一台被入侵主机上执行的每一条命令。 访问不再依赖于某个特定的据点，而是嵌入到了认证过程本身。”
• 关于传统防御的失效：Sygnia警告称，由于攻击者已经控制了认证流程，传统的缓解措施（如修改密码、终止会话）变得无效。因为攻击者总能通过后门密码再次进入，或通过窃取的合法凭据进行身份认证。Sygnia在报告中解释道：“认证流程的受损使得持久化能够在密码更改和会话终止后依然存活，降低了传统遏制措施的有效性。”
• 关于清理（根除）的极高风险：Sygnia特别强调，这并非一次标准的恶意软件清理。当攻击者控制了管理员赖以管理系统的PAM模块和OpenSSH组件时，简单的替换操作极有可能导致合法管理员被锁在系统之外，从而引发生产中断。Sygnia写道：“一个错误的软件包、不兼容的二进制文件或缺失的依赖项，可能将管理员完全锁在主机之外。在关键基础设施中，这可能将修复行动转变为生产中断。”因此，Sygnia的修复团队不得不在实验室环境中预先测试所有替换过程，为每台主机定制方案，并使用序列化和编码技术将修复逻辑打包传入受限网络，同时准备好回滚计划。Sygnia强调，访问验证被当作修复的一部分，而非清理后的附加任务。

四、Sygnia的总结与建议

Sygnia在报告结尾对此案进行了总结：“在Sygnia的各项调查中，Velvet Ant遵循着一个一致的模式：每次该组织的据点受到威胁，它就会向更深处移动。遗留Windows服务器让位于F5设备，然后是Cisco NX-OS，现在是认证堆栈本身。Operation Highland标志着攻击者不再需要利用单个服务——他们控制了认证访问所有服务的机制。”

针对此类攻击，Sygnia提出了多项缓解与加固建议：将PAM、OpenSSH、Windows LSASS等认证组件视为关键安全控制；在所有支持的系统上部署EDR；对无法部署EDR的隔离环境实施严格的应用程序白名单、增强审计日志、命令/会话监控等补偿控制；强化特权访问管理；考虑部署文件完整性监控；并为离线恢复做好准备——包括严格且经过测试的备份策略、离线或不可变副本，以及预置经过验证的恢复主机。

Sygnia的调查表明，当对手已经融入认证流程时，防御方不仅是在与恶意代码战斗，更是在为重建对整个系统的“信任”而战。

参考文献

1、Sygnia 官方博客，Sygnia Team. (2026, June 11). Velvet Ant’s Operation Highland: How a China-Nexus Actor Infiltrated an Internal Network Undetected. Sygnia Blog.https://www.sygnia.co/blog/operation-highland-velvet-ant/

2. BleepingComputer，Toulas, B. (2026, June 13). Chinese hackers hijack auth flow, spy on isolated network for a decade. BleepingComputer.https://www.bleepingcomputer.com/news/security/chinese-hackers-hijack-auth-flow-spy-on-isolated-network-for-a-decade/

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：网空闲话plus 网空闲话 网空闲话《“高地行动”：针对隔离网络长达十年的网络入侵活动》