Tag: PowerShell

Wprowadzenie do problemu / definicja

Operation Dragon Weave to ujawniona na początku czerwca 2026 roku kampania cybernetyczna przypisywana podmiotom powiązanym z Chinami. Jej celem są organizacje z sektorów rządowego, badawczego, akademickiego, technologicznego i finansowego w Czechach oraz na Tajwanie, a głównym założeniem operacji pozostaje cyberwywiad, długotrwałe utrzymanie dostępu i kradzież wrażliwych danych.

Kampania wpisuje się w szerszy trend działań APT, w których napastnicy łączą spear-phishing, wieloetapowe łańcuchy infekcji, techniki unikania analizy oraz wykorzystanie legalnych usług chmurowych do ukrywania komunikacji z infrastrukturą dowodzenia i kontroli.

W skrócie

Dragon Weave rozpoczyna się od wiadomości spear-phishingowej z archiwum ZIP, które zawiera pliki podszywające się pod dokumenty PDF lub legalne komponenty aplikacji. Po uruchomieniu ładunku ofiara inicjuje złożony łańcuch prowadzący do instalacji malware AdaptixC2.

• wejście następuje przez plik LNK lub binarny dropper napisany w Rust,
• w łańcuchu infekcji wykorzystywany jest PowerShell,
• atak obejmuje technikę DLL side-loading,
• finalny agent AZUREVEIL komunikuje się przez Azure Blob Storage,
• celem operacji jest szpiegostwo, rekonesans i eksfiltracja danych.

Kontekst / historia

Dragon Weave nie jest incydentem odosobnionym. W ostatnich miesiącach badacze opisywali wzmożoną aktywność chińskojęzycznych i chińsko powiązanych grup APT, które koncentrują się na celach o znaczeniu strategicznym i geopolitycznym.

Od października 2025 do marca 2026 roku obserwowano liczne kampanie wymierzone w administrację publiczną, infrastrukturę krytyczną, sektor badań oraz przemysł zaawansowanych technologii. W tym samym krajobrazie zagrożeń pojawiały się także klastry SteppeDriver i NegativeGlimmer, a także nowe narzędzia takie jak PhiliKit czy TencShell. Dragon Weave należy więc postrzegać jako element szerszej i konsekwentnej presji wywiadowczej, a nie jednorazową operację.

Analiza techniczna

Atak rozpoczyna się od dostarczenia archiwum ZIP w wiadomości spear-phishingowej. Po jego otwarciu ofiara widzi pliki sprawiające wrażenie legalnych dokumentów lub komponentów systemowych. W zależności od wariantu użytkownik uruchamia złośliwy skrót LNK podszywający się pod dokument PDF albo bezpośrednio plik wykonywalny pełniący rolę droppera.

W pierwszym scenariuszu plik LNK uruchamia PowerShell, który wydobywa właściwy moduł wykonywalny z pośredniego pliku DAT i uruchamia go jako RuntimeBroker_update.exe. W drugim wariancie samowystarczalny dropper napisany w Rust prowadzi do tego samego rezultatu, omijając część pośrednich etapów.

Następnie napastnicy wykorzystują DLL side-loading, podstawiając złośliwą bibliotekę UnityPlayer.dll. Mechanizm ten pozwala załadować nieautoryzowany kod przez proces lub aplikację wyglądającą na zaufaną, co znacząco utrudnia wykrycie przez tradycyjne mechanizmy ochronne. Biblioteka wdraża kolejny komponent nazwany RUSTCLOAK, którego zadaniem jest odszyfrowanie i uruchomienie finalnego ładunku.

Ostatnim etapem jest agent AdaptixC2 określany jako AZUREVEIL. Najbardziej charakterystycznym elementem tej kampanii jest wykorzystanie Azure Blob Storage jako pośredniej warstwy C2 w modelu dead drop. Zamiast klasycznych połączeń beaconingowych do infrastruktury napastnika malware korzysta ze współdzielonego kontenera pamięci masowej, gdzie operatorzy i zainfekowany system wymieniają dane. Takie podejście utrudnia wykrycie, ponieważ ruch może przypominać zwykłe korzystanie z legalnej usługi chmurowej.

AZUREVEIL obsługuje rozbudowany zestaw funkcji poeksploatacyjnych, obejmujących wykonywanie poleceń, przesyłanie plików, enumerację procesów, zarządzanie proxy SOCKS, przekierowanie portów oraz uruchamianie Beacon Object Files w pamięci. To wskazuje, że narzędzie służy nie tylko do utrzymania dostępu, ale także do rekonesansu wewnętrznego, ruchu bocznego i eksfiltracji danych.

Dodatkowym utrudnieniem dla analityków są mechanizmy anti-analysis. Loader sprawdza środowisko uruchomieniowe i aktywuje kolejne fazy tylko po spełnieniu określonych warunków, co sugeruje próbę unikania sandboxów i automatycznych systemów analitycznych.

Konsekwencje / ryzyko

Skala ryzyka związanego z Dragon Weave jest szczególnie wysoka dla administracji publicznej, instytucji badawczych, uczelni, firm technologicznych oraz sektora finansowego. Kampania wygląda na selektywną, dobrze przygotowaną i ukierunkowaną na cele o wysokiej wartości wywiadowczej.

• kradzież dokumentów strategicznych i danych wrażliwych,
• długotrwałe utrzymanie dostępu do stacji roboczych i serwerów,
• wykorzystanie zainfekowanego hosta do ruchu bocznego,
• ukrycie komunikacji C2 w legalnym ruchu do chmury,
• utrudnione wykrycie dzięki wieloetapowej infekcji i side-loadingowi DLL.

Istotne jest również to, że nadużywanie popularnych usług chmurowych komplikuje tradycyjne podejście do filtrowania i blokowania ruchu. W wielu organizacjach usługi Microsoft są uznawane za krytyczne biznesowo, dlatego analiza anomalii w tym obszarze wymaga większej dojrzałości telemetrycznej, korelacji zdarzeń i podejścia behawioralnego.

Rekomendacje

Organizacje zagrożone podobnymi operacjami powinny połączyć działania prewencyjne, detekcyjne i operacyjne.

• wzmocnić ochronę poczty elektronicznej i analizę załączników ZIP,
• blokować lub ściśle ograniczać uruchamianie plików LNK z nieznanych źródeł,
• ograniczyć użycie PowerShell do kontrolowanych scenariuszy administracyjnych,
• monitorować nietypowe uruchomienia procesów i ładowanie bibliotek DLL,
• wdrożyć detekcję DLL side-loading oraz uruchamiania komponentów z katalogów tymczasowych,
• zwiększyć widoczność ruchu do usług chmurowych, zwłaszcza pamięci obiektowej,
• korelować dane z EDR, poczty, DNS i proxy w celu identyfikacji pełnego łańcucha ataku,
• segmentować sieć i ograniczać uprawnienia użytkowników oraz kont serwisowych,
• aktualizować reguły detekcji o techniki stosowane przez grupy chińsko powiązane,
• szkolić użytkowników wysokiego ryzyka w rozpoznawaniu spear-phishingu i nietypowych archiwów.

Podsumowanie

Operation Dragon Weave pokazuje, jak bardzo dojrzałe stały się współczesne kampanie cyberwywiadowcze. Połączenie spear-phishingu, loaderów w Rust, DLL side-loadingu, mechanizmów anti-analysis oraz komunikacji C2 przez Azure Blob Storage wskazuje na wysoki poziom przygotowania operacyjnego i dobrą znajomość metod unikania detekcji.

Jednocześnie kampania ta stanowi część szerszego ekosystemu aktywności przypisywanych chińsko powiązanym grupom APT. Dla obrońców kluczowe staje się już nie tylko reagowanie na pojedyncze wskaźniki IOC, ale przede wszystkim rozumienie technik, procedur i wzorców działania przeciwnika, zwłaszcza w obszarze nadużyć legalnych usług chmurowych.

Źródła

1. The Hacker News — https://thehackernews.com/2026/06/china-aligned-groups-ramp-up-attacks.html
2. Seqrite — Operation Dragon Weave: Uncovering a China-Linked Campaign Targeting Czech Republic and Taiwan Using Azure Cloud C2 — https://www.seqrite.com/ja/blog/operation-dragon-weave-uncovering-a-china-linked-campaign-targeting-czech-republic-and-taiwan-using-azure-cloud-c2/
3. ESET APT Activity Report Q4 2025–Q1 2026 — https://www.welivesecurity.com/en/eset-research/eset-apt-activity-report-q4-2025-q1-2026/
4. Palo Alto Networks Unit 42 — The Shadow Campaigns: Uncovering Global Espionage — https://unit42.paloaltonetworks.com/shadow-campaigns-uncovering-global-espionage/?_wpnonce=fcb9e7e48d&lg=en&pdf=print
5. Infosecurity Magazine — China-Linked Hackers Deploy New TencShell Malware Against Manufacturer — https://www.infosecurity-magazine.com/news/china-hackers-tencshell-malware/

Wprowadzenie do problemu / definicja

Grupa Kimsuky, od lat łączona z działalnością wywiadowczą Korei Północnej, ponownie znalazła się w centrum uwagi analityków bezpieczeństwa. Najnowsze kampanie pokazują, że aktor rozwija zarówno własne rodziny złośliwego oprogramowania, jak i metody socjotechniczne oraz techniki utrzymywania dostępu w zaatakowanych środowiskach.

W centrum obserwowanych działań znalazł się HTTPSpy — trojan zdalnego dostępu wykorzystywany do wykonywania poleceń, transferu plików, robienia zrzutów ekranu i dalszej infiltracji systemów. Towarzyszą mu także nowe warianty backdoorów, takie jak HelloDoor i HttpMalice, oraz nadużywanie legalnych mechanizmów tunelowania, w tym funkcji Visual Studio Code Remote Tunneling.

W skrócie

• Kimsuky prowadził kampanie wymierzone w organizacje wojskowe i biznesowe w Korei Południowej.
• Ataki opierały się na fałszywych stronach instalatorów oprogramowania ochronnego oraz spreparowanych stronach spotkań online.
• Kluczowym ładunkiem był HTTPSpy, rozbudowany RAT umożliwiający zdalne sterowanie systemem ofiary.
• Badacze odnotowali również rozwój rodzin malware HelloDoor i HttpMalice.
• Po kompromitacji wykorzystywano legalne narzędzia i tunele VS Code, co utrudnia wykrywanie incydentów.

Kontekst / historia

Kimsuky to jedna z najlepiej znanych grup APT powiązywanych z północnokoreańskimi operacjami szpiegowskimi. Od lat koncentruje się na celach o wysokiej wartości wywiadowczej, w tym administracji publicznej, sektorze obronnym, wojskowym, politycznym i przemysłowym.

W przeszłości operatorzy tej grupy wielokrotnie wykorzystywali spear-phishing, podszywanie się pod zaufane instytucje oraz malware ukrywane w skryptach, archiwach i pozornie legalnych instalatorach. Najnowsze kampanie wskazują jednak na dojrzalszy model operacyjny, oparty na selektywnym dostarczaniu kolejnych ładunków i aktywnym sprawdzaniu skuteczności infekcji.

HTTPSpy nie jest nowym narzędziem w arsenale Kimsuky, ale jego ponowne wykorzystanie w rozbudowanych kampaniach potwierdza, że grupa konsekwentnie rozwija wcześniej sprawdzone implanty i łączy je z nowymi mechanizmami operacyjnymi.

Analiza techniczna

W jednej z opisanych kampanii atakujący przygotowali fałszywą stronę imitującą portal pobierania oprogramowania zabezpieczającego wykorzystywanego w środowiskach firmowych. Ofierze prezentowano rzekome komponenty ochronne, takie jak zapora sieciowa czy moduł ochrony klawiatury. W rzeczywistości pobierane pliki wykonywalne uruchamiały złośliwe binaria podszywające się pod legalne elementy bezpieczeństwa.

Pierwszy etap infekcji prowadził do uruchomienia biblioteki DLL ładowanej przez regsvr32.exe. Następnie skrypt wsadowy usuwał artefakty początkowego etapu, ograniczając liczbę śladów na dysku. Załadowana biblioteka odpowiadała za ustanowienie trwałości z użyciem harmonogramu zadań oraz za komunikację z serwerem C2 w celu pobrania kolejnych komponentów.

Druga kampania wykorzystywała stronę podszywającą się pod środowisko spotkań Webex. Użytkownik otrzymywał komunikat sugerujący problem z kamerą i zachętę do pobrania rzekomego narzędzia naprawczego. W praktyce prowadziło to do pobrania zaszyfrowanego skryptu JSE, który przez PowerShell wdrażał pośredni downloader realizujący kontrole antyanalityczne, komunikację z infrastrukturą sterującą i pobranie dalszych modułów.

Sam HTTPSpy oferuje szeroki zestaw funkcji operacyjnych. Malware umożliwia wykonywanie poleceń systemowych, przesyłanie plików, tworzenie zrzutów ekranu, uruchamianie procesów, ładowanie komponentów bezpośrednio do pamięci oraz usuwanie własnych śladów. Taki zakres możliwości czyni go użytecznym zarówno w działaniach szpiegowskich, jak i w utrzymywaniu długotrwałej obecności w środowisku ofiary.

Na szczególną uwagę zasługuje technika określana jako JSONPing. Fałszywe strony mogły komunikować się z lokalnym serwerem uruchomionym przez malware na urządzeniu ofiary i w ten sposób weryfikować, czy infekcja zakończyła się powodzeniem. Jeśli nie, użytkownikowi prezentowano dalsze komunikaty nakłaniające do wykonania kolejnych działań. To połączenie socjotechniki i telemetrii infekcji w czasie rzeczywistym zwiększa skuteczność kampanii.

Równolegle badacze opisali ewolucję innych rodzin malware powiązanych z Kimsuky. HelloDoor, oparty na Rust wariant rodziny PebbleDash, zapewnia podstawowe możliwości wykonywania poleceń i kontroli systemu. HttpMalice rozszerza ten model o funkcje rozpoznania hosta, utrwalania, zrzutów ekranu, ładowania payloadów do pamięci oraz eksfiltracji wyników poleceń. W analizach pojawiają się również nazwy takie jak HttpTroy, AppleSeed czy HappyDoor, co sugeruje utrzymywanie przez aktora kilku równoległych klastrów narzędziowych.

Istotnym elementem kampanii było także nadużywanie legalnych usług i narzędzi administracyjnych. Zamiast klasycznego kanału C2 operatorzy korzystali między innymi z Visual Studio Code Remote Tunneling, a także innych mechanizmów zdalnego dostępu i tunelowania. Tego rodzaju aktywność może przypominać legalne działania administratorów lub deweloperów, przez co bywa trudniejsza do wykrycia przy użyciu klasycznych wskaźników kompromitacji.

Konsekwencje / ryzyko

Największe ryzyko dotyczy organizacji działających w sektorach o wysokiej wartości strategicznej, takich jak obronność, administracja, wojsko, przemysł, energetyka czy ochrona zdrowia. Kampanie Kimsuky pokazują wysoki poziom dopasowania przynęt do codziennych procesów biznesowych i komunikacyjnych ofiar.

Udana kompromitacja może skutkować długotrwałą obecnością napastnika w sieci, kradzieżą dokumentów, przejęciem danych uwierzytelniających, zbieraniem zrzutów ekranu, monitorowaniem aktywności użytkowników oraz ruchem bocznym do kolejnych systemów. Dodatkowym problemem jest wykorzystanie legalnych usług tunelowania, które utrudniają wychwycenie podejrzanej komunikacji.

Niepokojące jest także łączenie socjotechniki z wiedzą o rzeczywistych wydarzeniach, takich jak prawdziwe spotkania czy obieg dokumentów. Taki poziom dopasowania może wskazywać, że napastnicy już wcześniej uzyskali dostęp do kont, skrzynek pocztowych lub urządzeń uczestników komunikacji.

Rekomendacje

Organizacje powinny traktować kampanie wykorzystujące fałszywe instalatory i strony spotkań jako realne zagrożenie dla użytkowników biznesowych, kadry kierowniczej i administratorów. Skuteczna obrona wymaga podejścia wielowarstwowego.

• Ograniczyć możliwość uruchamiania skryptów JSE, HTA, PIF, SCR i innych rzadko używanych formatów w środowisku użytkownika końcowego.
• Monitorować użycie regsvr32.exe, PowerShell i harmonogramu zadań pod kątem nietypowych łańcuchów procesów oraz ładowania bibliotek DLL.
• Wzmocnić ochronę poczty i przeglądarek przed phishingiem oraz regularnie szkolić użytkowników w rozpoznawaniu fałszywych stron spotkań online.
• Objąć alertowaniem użycie narzędzi zdalnego dostępu i tunelowania, w tym funkcji deweloperskich, które nie są standardowo używane w organizacji.
• Wdrożyć application allowlisting, ograniczenie uprawnień lokalnych oraz rozszerzoną telemetrykę EDR pod kątem ładowania payloadów do pamięci i mechanizmów trwałości.
• Prowadzić regularny threat hunting pod kątem artefaktów związanych z HTTPSpy, PebbleDash, AppleSeed i pokrewnymi rodzinami malware.

Podsumowanie

Najnowsze kampanie Kimsuky pokazują, że grupa rozwija się zarówno technicznie, jak i operacyjnie. Łączenie skutecznej socjotechniki, modularnego malware, selektywnego dostarczania ładunków i nadużywania legalnych usług zdalnego dostępu tworzy trudne do wykrycia zagrożenie dla organizacji o wysokiej wartości wywiadowczej.

HTTPSpy pozostaje ważnym elementem tego arsenału, ale jeszcze istotniejszy jest szerszy obraz: Kimsuky nie opiera się na jednym narzędziu, lecz buduje elastyczny ekosystem implantów i technik pozwalających prowadzić długotrwałe operacje szpiegowskie w środowiskach o strategicznym znaczeniu.

Źródła

1. The Hacker News — Kimsuky Deploys HTTPSpy, Expands Arsenal with HelloDoor and VS Code Tunnels
2. ENKI analysis on Kimsuky campaigns
3. Kaspersky Securelist research on Kimsuky tradecraft
4. CrowdStrike 2025 European Threat Landscape Report
5. Darktrace research on abuse of VS Code tunnels