Se observó una nueva operación de ciberespionaje con nombre en código Operación Dragon Weave dirigida a funcionarios y ciudadanos de la República Checa y Taiwán para desplegar agentes AdaptixC2.
Seqrite Labs dijo que los objetivos de la campaña incluyen los sectores de gobierno, investigación, academia, tecnología y servicios financieros. Esta actividad distribuye correos electrónicos de phishing que contienen archivos adjuntos ZIP y desencadena una cadena de infección que utiliza un cargador Rust para soltar una carga útil final para la filtración de datos y el control remoto.
«Una vez descomprimido, el archivo contenía múltiples archivos que parecían legítimos, pero que en realidad eran parte de una cadena de infección estructurada diseñada para ejecutar una carga maliciosa en segundo plano», dijo la investigadora de seguridad Priya Patel.
La cadena de ataque utiliza dos caminos diferentes para lanzar el malware final. Una secuencia de infección comienza cuando un destinatario de un archivo ZIP abre un archivo malicioso de acceso directo de Windows (LNK) disfrazado de documento PDF. Esto ejecuta un script de PowerShell que extrae un archivo ejecutable (‘RuntimeBroker_update.exe’) del archivo DAT intermedio y lo ejecuta.
En la segunda cadena de ataque, la víctima lanza el binario directamente desde el mismo archivo. Este binario actúa como un cuentagotas autónomo basado en Rust que inicia «RuntimeBroker_update.exe». Independientemente de la ruta elegida, el ejecutable carga una DLL maliciosa (‘UnityPlayer.dll’) mediante la carga lateral de DLL, lo que da como resultado la implementación de un cargador basado en Rust llamado RUSTCLOAK.
Luego, el cargador descifra y ejecuta la carga útil principal, el agente AdaptixC2 (con nombre en código AZUREVEIL porque utiliza Microsoft Azure Blob Storage para comando y control (C2)). El cargador está diseñado para realizar análisis antiverificaciones y continuar solo si el malware determina que se está ejecutando en un entorno sandbox.
«Este malware simplemente se comunica con Azure Blob Storage, el mismo servicio utilizado por miles de empresas legítimas en todo el mundo», dijo Seqrite Labs. «En lugar de utilizar el modelo C2 tradicional basado en extracción, AZUREVEIL sigue un enfoque de entrega directa. El atacante y el sistema infectado nunca se comunican directamente. En cambio, ambas partes utilizan el mismo contenedor de almacenamiento de Azure para intercambiar datos».
AZUREVEIL admite 36 comandos que pueden realizar una amplia gama de acciones posteriores al compromiso en hosts, incluidas operaciones de archivos, cargas y descargas de archivos, ejecución de comandos de shell, enumeración y terminación de procesos, reenvío de puertos, control de proxy SOCKS, administración de servidores C2 y ejecución en memoria de archivos de objetos Beacon (BOF).
Estas características le dan al atacante un control total sobre un punto final comprometido. Esta actividad se atribuye a un actor o grupo conocido, pero se considera que está afiliada a China.
La divulgación se produce después de que Cato Networks anunciara que había detectado y bloqueado un intento de infiltrarse en la sucursal india de un cliente de fabricación global anónimo para entregar TencShell, un implante basado en Go previamente no documentado derivado del marco de código abierto rshell C2.
Se cree que este ataque es obra de atacantes alineados con China basados en el uso anterior de rshell, suplantación de API con temática de Tencent y patrones de infraestructura. Actualmente se desconoce el vector de acceso inicial utilizado para la intrusión.
«Si tuviera éxito, TencShell podría haber proporcionado a los atacantes una ruta para la ejecución remota de comandos, ejecución de carga útil en memoria, proxy, pivotación, creación de perfiles del sistema y herramientas adicionales», dijeron los investigadores Idan Tarab, Dr. Guy Weisel, Zohar Buber y Shani Kurtzberg.
ESET dijo en un informe publicado la semana pasada que los actores de amenazas alineados con China permanecieron «altamente activos» en todo el mundo desde octubre de 2025 hasta marzo de 2026. Esto incluye un clúster no reportado llamado SteppeDriver, que se descubrió por primera vez en 2024 y desde entonces se ha dirigido a organizaciones en Francia, Mongolia y Sudamérica utilizando herramientas como ShadowPad, COOLCLIENT, CurlyDoor, RudeGull y MKTDownloader.
Un proveedor eslovaco de ciberseguridad también identificó un nuevo kit de herramientas vinculado a UNC5221 llamado PhiliKit que actúa como una puerta trasera pasiva para ejecutar comandos de shell, scripts de Python y scripts de Perl. Se sospecha que PhiliKit se implementó como parte del paquete de malware SPAWN utilizado por grupos de hackers chinos en el pasado.
Un tercer grupo de amenazas relacionado con China es NegativeGlimmer, que se cree que se superpone en cierta medida con TGR-STA-1030. La Unidad 42 de Palo Alto Networks documentó a principios de este año que TGR-STA-1030 había comprometido al menos 70 organizaciones gubernamentales y de infraestructura crítica en 37 países durante el año pasado.
En al menos un caso observado en diciembre de 2025, un actor de amenazas apuntó a una organización gubernamental en Panamá y se descubrió que entregaba un descargador utilizando una cadena de carga lateral de DLL iniciada a través de phishing, luego implementaba AdaptixC2 y al mismo tiempo mostraba un documento señuelo a la víctima.
En las iteraciones posteriores a enero de 2026, AdaptixC2 fue reemplazado por Cobalt Strike, y también se informaron infecciones en Camboya y Corea del Sur.
«Este último objetivo coreano es consistente con el interés duradero del gobierno chino en tecnologías estratégicas priorizadas bajo la política de desarrollo industrial Made in China 2025», dijo Jiang-Ian Boutin de ESET.
Source link
