Il gruppo di cyber spionaggio noto come Ink Dragon, associato a operazioni di matrice cinese, sta intensificando gli attacchi contro enti governativi e organizzazioni di telecomunicazioni. Dalle attivita osservate a partire da luglio 2025 emerge una forte attenzione verso obiettivi in Europa, senza interrompere le campagne in Asia sudorientale e Sud America. Il cluster e conosciuto anche con altre denominazioni operative e risulta attivo almeno dal 2023, con una strategia che unisce sviluppo software solido, procedure disciplinate e uso di strumenti nativi dei sistemi per confondersi nel traffico legittimo.
Le catene di compromissione partono spesso da servizi vulnerabili esposti su Internet e da applicazioni web non aggiornate. Dopo l accesso iniziale, gli attaccanti distribuiscono web shell per mantenere un punto di ingresso e poi installano payload aggiuntivi utili al controllo remoto e alla movimentazione laterale. Tra gli strumenti impiegati compaiono componenti per command and control, ricognizione interna, elusione delle difese e furto di dati, inclusi beacon tipici di framework usati in molte intrusioni mirate.
Un elemento chiave della campagna e l abuso di valori machine key di ASP.NET prevedibili o gestiti in modo errato, sfruttati per attacchi di deserializzazione ViewState contro server IIS e ambienti SharePoint. Da qui Ink Dragon puo installare un modulo listener personalizzato basato su ShadowPad, trasformando i server compromessi in nodi della propria infrastruttura C2. Questo approccio consente di usare le vittime come relay, cioe come ponti per instradare comandi e traffico, aumentando la resilienza dell operazione e rendendo piu complessa l attribuzione e la bonifica.
La persistenza non dipende da un singolo backdoor, ma da piu componenti specializzati: loader per eseguire moduli in memoria, strumenti che sfruttano debugger di sistema per lanciare shellcode, utility per ottenere dump di LSASS e moduli per decrittare ed eseguire payload. Particolarmente rilevante e FINALDRAFT, un malware modulare che usa servizi e API legittime per il canale di comando, includendo tecniche di evasione e maggiore capacita di esfiltrazione. In alcuni casi l escalation privilegio avviene tramite token e materiali di autenticazione presenti in memoria, con successiva estrazione di database e hive di registro per ottenere controllo di dominio.
