
中国关联组织加剧攻击:Dragon Weave袭捷克台湾
Seqrite Labs 发现代号 Operation Dragon Weave 的新一轮网络间谍活动,针对捷克与台湾的政府、研究、学术、科技和金融服务等目标,通过含 ZIP 附件的鱼叉式钓鱼邮件投递 AdaptixC2。攻击链使用 Rust loader、DLL sideloading 和 Microsoft Azure Blob Storage 作为 C2;建议重点排查 LNK、PowerShell、UnityPlayer.dll 与可疑 Azure 存储通信。
一项名为 Operation Dragon Weave 的新网络间谍活动已被观察到针对捷克共和国和台湾的官员及公民,目的是投递一个 AdaptixC2 agent。
据 Seqrite Labs 称,这场活动的目标包括政府、研究、学术、科技和金融服务行业。该活动涉及分发带有 ZIP 附件的鱼叉式钓鱼邮件,以触发一条感染链;该感染链使用 Rust loader 投放最终载荷,用于数据外传和远程控制。
“解压后,压缩包包含多个看起来合法、但实际上是结构化感染链一部分的文件,这些文件旨在在后台执行恶意载荷,”安全研究员 Priya Patel 说。
该攻击链使用两条不同路径来启动最终阶段的恶意软件。第一条感染序列在 ZIP 压缩包的接收者打开一个伪装成 PDF 文档的恶意 Windows Shortcut(LNK)文件时开始。这会导致执行一个 PowerShell 脚本,该脚本负责从一个中间 DAT 文件中提取名为“RuntimeBroker_update.exe”的可执行文件并运行它。
在第二条攻击链中,受害者会直接从同一压缩包中启动一个二进制文件。该二进制文件充当一个自包含的、基于 Rust 的 dropper,用于启动“RuntimeBroker_update.exe”。无论选择哪条路径,该可执行文件都会通过 DLL side-loading 加载一个恶意 DLL(“UnityPlayer.dll”),从而部署一个名为 RUSTCLOAK 的基于 Rust 的 loader。
随后,该 loader 会解密并运行主载荷:一个名为 AZUREVEIL 的 AdaptixC2 agent,之所以这样命名,是因为其命令和控制(C2)使用了 Microsoft Azure Blob Storage。该 loader 还设计了反分析检查,只有在恶意软件判断自己运行在 sandboxed 环境中时才继续执行。
“这个恶意软件只是与 Azure Blob Storage 通信,而这个服务也被全球成千上万家合法企业使用,”Seqrite Labs 说。“AZUREVEIL 没有使用传统的拉取式 C2 模型,而是采用 dead drop 方式。攻击者和受感染系统不会直接通信;相反,双方使用同一个 Azure storage container 来交换数据。”
AZUREVEIL 支持 36 条命令,可在主机上执行广泛的入侵后操作,包括文件操作、文件上传和下载、shell 命令执行、进程枚举和终止、端口转发、SOCKS proxy 控制、C2 server 管理,以及在内存中执行 Beacon Object Files(BOFs)。
这些能力使攻击者能够完全控制被攻陷的终端。尽管该活动已被归因于一个已知的威胁行为者或组织,但评估认为其与中国有关联。
此番披露之际,Cato Networks 表示,其检测并阻止了一起针对某全球制造业客户印度分支机构的入侵尝试;该入侵试图投递 TencShell,这是一个此前未披露的、基于 Go 的 implant,源自开源 rshell C2 framework。
据信,这次攻击由中国背景威胁行为者实施,依据包括 rshell 的历史使用情况、腾讯主题的 API 冒充以及基础设施模式。此次入侵使用的初始访问向量目前未知。
研究人员 Idan Tarab、Dr. Guy Waizel、Zohar Buber 和 Shani Kurtzberg 说:“如果成功,TencShell 本可以让攻击者获得远程命令执行、内存中载荷执行、代理、横向移动、系统画像,以及部署更多工具的路径。”
在上周发布的一份报告中,ESET 说,中国关联威胁行为者在 2025 年 10 月至 2026 年 3 月期间在全球范围内一直“高度活跃”。其中包括一个未公开的集群,代号 SteppeDriver;该集群最早于 2024 年被发现,此后一直使用 ShadowPad、COOLCLIENT、CurlyDoor、RudeGull 和 MKTDownloader 等工具,针对法国、蒙古和南美的实体。
这家斯洛伐克网络安全厂商还发现了一个与 UNC5221 相关、名为 PhiliKit 的新工具包,它充当一个被动后门,可执行 shell commands、Python scripts 和 Perl scripts。据怀疑,PhiliKit 是作为 SPAWN malware suite 的一部分部署的,而该套件过去曾被中国黑客组织使用。
第三个与中国有关联的威胁组织是 NegativeGlimmer,据信它与 TGR-STA-1030 存在一定程度的重叠。Palo Alto Networks Unit 42 今年早些时候曾披露,TGR-STA-1030 在过去一年里已入侵至少 70 个分布于 37 个国家的政府和关键基础设施组织。
在 2025 年 12 月观察到的至少一个案例中,该威胁行为者被发现以巴拿马的一家政府机构为目标,使用由鱼叉式钓鱼触发的 DLL side-loading 链,投递一个 downloader,随后部署 AdaptixC2,并同时向受害者显示一份诱饵文档。
2026 年 1 月的后续变种则用 Cobalt Strike 取代了 AdaptixC2;相关感染也报告出现在柬埔寨和韩国。
ESET 的 Jean-Ian Boutin 表示:“后者针对韩国的活动与北京长期以来对《Made in China 2025》工业发展政策下优先战略技术的兴趣相一致。”