Sebuah kampanye spionase siber yang diduga dilakukan oleh kelompok peretas asal Tiongkok telah terungkap berhasil mempertahankan akses persisten selama lebih dari satu dekade. Operasi ini menargetkan sistem operasi Linux dengan cara menyusup ke dalam Pluggable Authentication Modules (PAM), yang merupakan pustaka krusial untuk mengelola metode autentikasi pengguna pada sistem berbasis Linux. Dengan memodifikasi komponen autentikasi ini, para pelaku berhasil menyembunyikan keberadaan mereka dari deteksi selama bertahun-tahun.
Para peretas mengganti modul sistem yang sah dengan versi yang telah dimodifikasi (backdoored). Versi ini dirancang khusus untuk menerima kata sandi hardcoded yang telah ditentukan sebelumnya oleh pelaku, sehingga mereka dapat mengakses sistem kapan saja tanpa perlu melalui mekanisme keamanan standar. Selain itu, modul tersebut juga berfungsi untuk mencuri kredensial administratif secara real-time setiap kali pengguna sah melakukan login ke dalam sistem.
Tidak berhenti pada pencurian kredensial, kelompok ini juga menyebarkan versi trojan dari komponen OpenSSH. Dengan alat ini, setiap perintah yang diketikkan oleh administrator sistem akan dicatat dan dikirimkan kepada penyerang. Hal ini memberikan visibilitas penuh kepada peretas terhadap seluruh aktivitas internal, konfigurasi jaringan, hingga data sensitif yang dikelola oleh organisasi target.
Proses remediasi atau pembersihan serangan ini terbukti sangat menantang bagi tim keamanan siber. Mengingat banyaknya komponen sistem kritis yang telah diganti, tindakan penghapusan modul yang terinfeksi secara sembarangan justru berisiko menyebabkan kegagalan operasional sistem yang fatal. Para peneliti keamanan terpaksa membangun laboratorium pengujian khusus untuk memvalidasi setiap penggantian biner guna memastikan bahwa administrator yang sah tidak terkunci dari sistem mereka sendiri saat proses pembersihan berlangsung.
Keberhasilan serangan ini menyoroti betapa krusialnya keamanan pada tingkat modul inti sistem. Para pelaku memanfaatkan ketidaktahuan administrator terhadap integritas pustaka autentikasi untuk menanamkan kode berbahaya yang sulit dideteksi melalui pemindaian antivirus konvensional. Pendekatan ini menunjukkan tingkat kecanggihan teknis yang tinggi dalam mempertahankan pijakan di dalam jaringan target untuk waktu yang sangat lama.
Sebagai langkah pencegahan di masa depan, para pakar keamanan menyarankan setiap organisasi untuk memperlakukan komponen autentikasi sebagai aset paling kritis dalam infrastruktur mereka. Implementasi pemantauan integritas file (file integrity monitoring) secara ketat, dikombinasikan dengan penggunaan cadangan data yang tidak dapat diubah (immutable backups), sangat direkomendasikan untuk mendeteksi perubahan ilegal pada sistem sebelum peretas dapat mengeksploitasi akses tersebut lebih jauh.