Operation Dragon Weave: chińsko powiązana kampania APT uderza w Czechy i Tajwan - Security Bez Tabu

Operation Dragon Weave: chińsko powiązana kampania APT uderza w Czechy i Tajwan

Cybersecurity news

Wprowadzenie do problemu / definicja

Operation Dragon Weave to ujawniona na początku czerwca 2026 roku kampania cybernetyczna przypisywana podmiotom powiązanym z Chinami. Jej celem są organizacje z sektorów rządowego, badawczego, akademickiego, technologicznego i finansowego w Czechach oraz na Tajwanie, a głównym założeniem operacji pozostaje cyberwywiad, długotrwałe utrzymanie dostępu i kradzież wrażliwych danych.

Kampania wpisuje się w szerszy trend działań APT, w których napastnicy łączą spear-phishing, wieloetapowe łańcuchy infekcji, techniki unikania analizy oraz wykorzystanie legalnych usług chmurowych do ukrywania komunikacji z infrastrukturą dowodzenia i kontroli.

W skrócie

Dragon Weave rozpoczyna się od wiadomości spear-phishingowej z archiwum ZIP, które zawiera pliki podszywające się pod dokumenty PDF lub legalne komponenty aplikacji. Po uruchomieniu ładunku ofiara inicjuje złożony łańcuch prowadzący do instalacji malware AdaptixC2.

  • wejście następuje przez plik LNK lub binarny dropper napisany w Rust,
  • w łańcuchu infekcji wykorzystywany jest PowerShell,
  • atak obejmuje technikę DLL side-loading,
  • finalny agent AZUREVEIL komunikuje się przez Azure Blob Storage,
  • celem operacji jest szpiegostwo, rekonesans i eksfiltracja danych.

Kontekst / historia

Dragon Weave nie jest incydentem odosobnionym. W ostatnich miesiącach badacze opisywali wzmożoną aktywność chińskojęzycznych i chińsko powiązanych grup APT, które koncentrują się na celach o znaczeniu strategicznym i geopolitycznym.

Od października 2025 do marca 2026 roku obserwowano liczne kampanie wymierzone w administrację publiczną, infrastrukturę krytyczną, sektor badań oraz przemysł zaawansowanych technologii. W tym samym krajobrazie zagrożeń pojawiały się także klastry SteppeDriver i NegativeGlimmer, a także nowe narzędzia takie jak PhiliKit czy TencShell. Dragon Weave należy więc postrzegać jako element szerszej i konsekwentnej presji wywiadowczej, a nie jednorazową operację.

Analiza techniczna

Atak rozpoczyna się od dostarczenia archiwum ZIP w wiadomości spear-phishingowej. Po jego otwarciu ofiara widzi pliki sprawiające wrażenie legalnych dokumentów lub komponentów systemowych. W zależności od wariantu użytkownik uruchamia złośliwy skrót LNK podszywający się pod dokument PDF albo bezpośrednio plik wykonywalny pełniący rolę droppera.

W pierwszym scenariuszu plik LNK uruchamia PowerShell, który wydobywa właściwy moduł wykonywalny z pośredniego pliku DAT i uruchamia go jako RuntimeBroker_update.exe. W drugim wariancie samowystarczalny dropper napisany w Rust prowadzi do tego samego rezultatu, omijając część pośrednich etapów.

Następnie napastnicy wykorzystują DLL side-loading, podstawiając złośliwą bibliotekę UnityPlayer.dll. Mechanizm ten pozwala załadować nieautoryzowany kod przez proces lub aplikację wyglądającą na zaufaną, co znacząco utrudnia wykrycie przez tradycyjne mechanizmy ochronne. Biblioteka wdraża kolejny komponent nazwany RUSTCLOAK, którego zadaniem jest odszyfrowanie i uruchomienie finalnego ładunku.

Ostatnim etapem jest agent AdaptixC2 określany jako AZUREVEIL. Najbardziej charakterystycznym elementem tej kampanii jest wykorzystanie Azure Blob Storage jako pośredniej warstwy C2 w modelu dead drop. Zamiast klasycznych połączeń beaconingowych do infrastruktury napastnika malware korzysta ze współdzielonego kontenera pamięci masowej, gdzie operatorzy i zainfekowany system wymieniają dane. Takie podejście utrudnia wykrycie, ponieważ ruch może przypominać zwykłe korzystanie z legalnej usługi chmurowej.

AZUREVEIL obsługuje rozbudowany zestaw funkcji poeksploatacyjnych, obejmujących wykonywanie poleceń, przesyłanie plików, enumerację procesów, zarządzanie proxy SOCKS, przekierowanie portów oraz uruchamianie Beacon Object Files w pamięci. To wskazuje, że narzędzie służy nie tylko do utrzymania dostępu, ale także do rekonesansu wewnętrznego, ruchu bocznego i eksfiltracji danych.

Dodatkowym utrudnieniem dla analityków są mechanizmy anti-analysis. Loader sprawdza środowisko uruchomieniowe i aktywuje kolejne fazy tylko po spełnieniu określonych warunków, co sugeruje próbę unikania sandboxów i automatycznych systemów analitycznych.

Konsekwencje / ryzyko

Skala ryzyka związanego z Dragon Weave jest szczególnie wysoka dla administracji publicznej, instytucji badawczych, uczelni, firm technologicznych oraz sektora finansowego. Kampania wygląda na selektywną, dobrze przygotowaną i ukierunkowaną na cele o wysokiej wartości wywiadowczej.

  • kradzież dokumentów strategicznych i danych wrażliwych,
  • długotrwałe utrzymanie dostępu do stacji roboczych i serwerów,
  • wykorzystanie zainfekowanego hosta do ruchu bocznego,
  • ukrycie komunikacji C2 w legalnym ruchu do chmury,
  • utrudnione wykrycie dzięki wieloetapowej infekcji i side-loadingowi DLL.

Istotne jest również to, że nadużywanie popularnych usług chmurowych komplikuje tradycyjne podejście do filtrowania i blokowania ruchu. W wielu organizacjach usługi Microsoft są uznawane za krytyczne biznesowo, dlatego analiza anomalii w tym obszarze wymaga większej dojrzałości telemetrycznej, korelacji zdarzeń i podejścia behawioralnego.

Rekomendacje

Organizacje zagrożone podobnymi operacjami powinny połączyć działania prewencyjne, detekcyjne i operacyjne.

  • wzmocnić ochronę poczty elektronicznej i analizę załączników ZIP,
  • blokować lub ściśle ograniczać uruchamianie plików LNK z nieznanych źródeł,
  • ograniczyć użycie PowerShell do kontrolowanych scenariuszy administracyjnych,
  • monitorować nietypowe uruchomienia procesów i ładowanie bibliotek DLL,
  • wdrożyć detekcję DLL side-loading oraz uruchamiania komponentów z katalogów tymczasowych,
  • zwiększyć widoczność ruchu do usług chmurowych, zwłaszcza pamięci obiektowej,
  • korelować dane z EDR, poczty, DNS i proxy w celu identyfikacji pełnego łańcucha ataku,
  • segmentować sieć i ograniczać uprawnienia użytkowników oraz kont serwisowych,
  • aktualizować reguły detekcji o techniki stosowane przez grupy chińsko powiązane,
  • szkolić użytkowników wysokiego ryzyka w rozpoznawaniu spear-phishingu i nietypowych archiwów.

Podsumowanie

Operation Dragon Weave pokazuje, jak bardzo dojrzałe stały się współczesne kampanie cyberwywiadowcze. Połączenie spear-phishingu, loaderów w Rust, DLL side-loadingu, mechanizmów anti-analysis oraz komunikacji C2 przez Azure Blob Storage wskazuje na wysoki poziom przygotowania operacyjnego i dobrą znajomość metod unikania detekcji.

Jednocześnie kampania ta stanowi część szerszego ekosystemu aktywności przypisywanych chińsko powiązanym grupom APT. Dla obrońców kluczowe staje się już nie tylko reagowanie na pojedyncze wskaźniki IOC, ale przede wszystkim rozumienie technik, procedur i wzorców działania przeciwnika, zwłaszcza w obszarze nadużyć legalnych usług chmurowych.

Źródła

  1. The Hacker News — https://thehackernews.com/2026/06/china-aligned-groups-ramp-up-attacks.html
  2. Seqrite — Operation Dragon Weave: Uncovering a China-Linked Campaign Targeting Czech Republic and Taiwan Using Azure Cloud C2 — https://www.seqrite.com/ja/blog/operation-dragon-weave-uncovering-a-china-linked-campaign-targeting-czech-republic-and-taiwan-using-azure-cloud-c2/
  3. ESET APT Activity Report Q4 2025–Q1 2026 — https://www.welivesecurity.com/en/eset-research/eset-apt-activity-report-q4-2025-q1-2026/
  4. Palo Alto Networks Unit 42 — The Shadow Campaigns: Uncovering Global Espionage — https://unit42.paloaltonetworks.com/shadow-campaigns-uncovering-global-espionage/?_wpnonce=fcb9e7e48d&lg=en&pdf=print
  5. Infosecurity Magazine — China-Linked Hackers Deploy New TencShell Malware Against Manufacturer — https://www.infosecurity-magazine.com/news/china-hackers-tencshell-malware/