Una nuova campagna di cyber spionaggio chiamata Operation Dragon Weave sta aumentando la pressione su enti e cittadini nella Repubblica Ceca e a Taiwan, con l’obiettivo di installare un agente AdaptixC2 per controllo remoto ed esfiltrazione dati. I bersagli osservati includono organizzazioni governative, ricerca e università, tecnologia e servizi finanziari, un perimetro tipico delle operazioni orientate alla raccolta di informazioni strategiche.
La catena di infezione parte da email di spear phishing che contengono allegati ZIP. Una volta estratto, l’archivio presenta file che sembrano legittimi ma che in realtà sono costruiti per eseguire payload malevoli in background. Sono stati descritti due percorsi principali:
- Primo percorso: la vittima apre un file LNK che si finge documento PDF, attivando uno script PowerShell che estrae ed esegue un binario denominato RuntimeBroker_update.exe a partire da un file intermedio DAT.
- Secondo percorso: la vittima avvia direttamente un eseguibile presente nello ZIP che agisce da dropper basato su Rust e lancia lo stesso RuntimeBroker_update.exe.
In entrambi i casi, l’eseguibile carica una DLL malevola chiamata UnityPlayer.dll tramite DLL side loading, tecnica usata per sfruttare la fiducia in componenti apparentemente innocui. Questo passaggio porta al rilascio di un loader in Rust noto come RUSTCLOAK, che decifra ed esegue il payload finale: l’agente AdaptixC2.
Una caratteristica chiave della campagna è l’uso di Microsoft Azure Blob Storage per il command and control, con un componente soprannominato AZUREVEIL. Invece di un C2 tradizionale basato su richieste dirette, viene adottato un approccio dead drop: attaccante e sistema infetto non comunicano direttamente, ma scambiano dati tramite lo stesso contenitore di storage nel cloud, rendendo il traffico più simile a quello aziendale legittimo.
AZUREVEIL supporta 36 comandi e abilita azioni post-compromissione come operazioni su file, upload e download, esecuzione di comandi shell, enumerazione e terminazione processi, port forwarding, controllo SOCKS proxy, gestione C2 ed esecuzione in memoria di Beacon Object Files. Il risultato è un controllo completo dell’endpoint compromesso, con attribuzione valutata come allineata alla Cina.