Um grupo de cibercriminosos conhecido como Velvet Ant, vinculado à China, conseguiu se infiltrar no sistema de login do Linux, especificamente nos componentes PAM e OpenSSH, por quase uma década. Em vez de utilizar malware visível, os atacantes modificaram os programas de login confiáveis, permitindo acesso não detectado e a coleta de credenciais de usuários. A operação começou em 2016 e foi caracterizada por uma abordagem furtiva, onde o grupo utilizou servidores expostos à internet como ponte para acessar redes isoladas. A pesquisa revelou nove versões diferentes do módulo de login PAM comprometido, que registravam senhas e comandos sem que os usuários percebessem. A complexidade da situação é agravada pelo fato de que a simples reinicialização de senhas não é eficaz, uma vez que o sistema que valida as credenciais está sob controle do atacante. A recomendação para mitigar esses riscos inclui monitorar alterações nos arquivos de login e realizar verificações rigorosas de integridade. O caso destaca a necessidade de uma vigilância mais abrangente sobre sistemas que normalmente não estão sob monitoramento constante.
Fonte: https://thehackernews.com/2026/06/china-linked-hackers-backdoored-linux.html
🚨BR DEFENSE CENTER: SECURITY BRIEFING
12/06/2026 • Risco: CRITICO
ATAQUE
Grupo ligado à China compromete sistema de login do Linux
RESUMO EXECUTIVO
O comprometimento do sistema de login do Linux por um grupo ligado à China representa um risco significativo para a segurança de dados. As modificações em componentes críticos como PAM e OpenSSH permitem acesso não autorizado e coleta de credenciais, exigindo ações imediatas de verificação e monitoramento por parte dos CISOs.
💼 IMPACTO DE NEGÓCIO
Financeiro
Possíveis perdas financeiras significativas devido a roubo de dados e interrupções operacionais.
Operacional
Roubo de credenciais e acesso não autorizado a sistemas críticos.
Setores vulneráveis
['Tecnologia da Informação', 'Financeiro', 'Infraestrutura Crítica']
📊 INDICADORES CHAVE
Nove versões diferentes do módulo de login PAM comprometido.
Indicador
Modificações em OpenSSH com capacidade de registrar comandos.
Contexto BR
Operação se estendeu por quase uma década.
Urgência
⚡ AÇÕES IMEDIATAS
1
Verificar alterações nos arquivos de login PAM e OpenSSH.
2
Implementar monitoramento rigoroso e comparações com cópias conhecidas dos programas.
3
Monitorar continuamente os sistemas para alterações não autorizadas e registrar atividades suspeitas.
🇧🇷 RELEVÂNCIA BRASIL
CISOs devem se preocupar com a segurança de sistemas críticos que não estão sob monitoramento rigoroso, pois ataques furtivos podem comprometer a integridade dos dados.
⚖️ COMPLIANCE
Implicações diretas para a conformidade com a LGPD e a proteção de dados pessoais.
Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).
