Een nieuwe cyberspionagecampagne met de codenaam Operatie Dragonweave Er is waargenomen dat ambtenaren en burgers in Tsjechië en Taiwan zich richtten op de levering van een AdaptixC2-agent.
Volgens Seqrite Labs omvatten de doelstellingen van de campagne de sectoren overheid, onderzoek, wetenschap, technologie en financiële dienstverlening. De activiteit omvat het verspreiden van spearphishing-e-mails met ZIP-bijlagen om een infectieketen te activeren die een Rust-loader gebruikt om de laatste lading te laten vallen voor gegevensexfiltratie en afstandsbediening.
“Wanneer het archief wordt uitgepakt, bevat het meerdere bestanden die er legitiem uitzien, maar feitelijk deel uitmaken van een gestructureerde infectieketen die is ontworpen om kwaadaardige ladingen op de achtergrond uit te voeren”, aldus beveiligingsonderzoeker Priya Patel.
De aanvalsketen gebruikt twee verschillende routes om de malware in de laatste fase te lanceren. Eén infectiereeks begint wanneer de ontvanger van het ZIP-archief een kwaadaardig Windows Shortcut-bestand (LNK) opent dat zich voordoet als een PDF-document. Dit leidt tot de uitvoering van een PowerShell-script dat verantwoordelijk is voor het extraheren van een uitvoerbaar bestand (“RuntimeBroker_update.exe”) uit een tussenliggend DAT-bestand en het uitvoeren ervan.
In de tweede aanvalsketen lanceert het slachtoffer rechtstreeks een binair bestand uit hetzelfde archief. Het binaire bestand functioneert als een op zichzelf staande, op Rust gebaseerde dropper om “RuntimeBroker_update.exe” te starten. Ongeacht het gekozen pad laadt het uitvoerbare bestand een kwaadaardige DLL (“UnityPlayer.dll”) via DLL side-loading, wat resulteert in de inzet van een op Rust gebaseerde lader genaamd RUSTCLOAK.
De lader decodeert vervolgens de hoofdpayload en voert deze uit, een AdaptixC2-agent met de codenaam AZUREVEIL dankzij het gebruik van Microsoft Azure Blob Storage voor command-and-control (C2). De lader is ontworpen om anti-analysecontroles uit te voeren en alleen door te gaan als de malware vaststelt dat deze in een sandbox-omgeving wordt uitgevoerd.
“De malware praat gewoon met Azure Blob Storage, dezelfde service die door duizenden legitieme bedrijven wereldwijd wordt gebruikt”, aldus Seqrite Labs. “In plaats van een traditioneel pull-gebaseerd C2-model te gebruiken, volgt AZUREVEIL een dead-drop-aanpak. De aanvaller en het geïnfecteerde systeem communiceren nooit rechtstreeks. In plaats daarvan gebruiken beide partijen dezelfde Azure-opslagcontainer om gegevens uit te wisselen.”
AZUREVEIL ondersteunt 36 opdrachten waarmee het een breed scala aan post-compromisacties op de host kan uitvoeren, waaronder bestandsbewerkingen, het uploaden en downloaden van bestanden, het uitvoeren van shell-opdrachten, het opsommen en beëindigen van processen, het doorsturen van poorten, SOCKS-proxycontrole, C2-serverbeheer en in-memory uitvoering van Beacon Object Files (BOF’s).
Deze mogelijkheden geven de aanvaller volledige controle over het gecompromitteerde eindpunt. Hoewel de activiteit is toegeschreven aan een bekende dreigingsactoren of -groep, wordt aangenomen dat deze zich op China richt.
De onthulling komt op het moment dat Cato Networks zei dat het een poging tot inbraak tegen de Indiase tak van een niet bij naam genoemde wereldwijde productieklant had gedetecteerd en geblokkeerd om TencShell te leveren, een voorheen ongedocumenteerd Go-gebaseerd implantaat afgeleid van het open-source rshell C2-framework.
Aangenomen wordt dat de aanval het werk is van dreigingsactoren uit China, gebaseerd op het historische gebruik van rshell, API-imitatie met Tencent-thema en infrastructuurpatronen. De initiële toegangsvector die bij de inbraak werd gebruikt, is momenteel onbekend.
“Als dit lukte, had TencShell de aanvaller de uitvoering van opdrachten op afstand, de uitvoering van payloads in het geheugen, proxying, pivoting, systeemprofilering en een pad kunnen geven om extra tools in te zetten”, aldus onderzoekers Idan Tarab, Dr. Guy Waizel, Zohar Buber en Shani Kurtzberg.
In een vorige week gepubliceerd rapport zegt ESET dat met China verbonden dreigingsactoren van oktober 2025 tot en met maart 2026 wereldwijd ‘zeer actief’ zijn gebleven. Dit omvat een niet-gerapporteerd cluster genaamd SteppeDriver dat voor het eerst werd ontdekt in 2024 en zich sindsdien heeft gericht op entiteiten in Frankrijk, Mongolië en Zuid-Amerika met behulp van tools als ShadowPad, COOLCLIENT, CurlyDoor, RudeGull en MKTDownloader.
Ook geïdentificeerd door de Slowaakse cybersecurity-leverancier is een nieuwe toolkit gekoppeld aan UNC5221 genaamd PhiliKit die fungeert als een passieve achterdeur voor het uitvoeren van shell-opdrachten, Python-scripts en Perl-scripts. Het vermoeden bestaat dat PhiliKit wordt ingezet als onderdeel van de SPAWN-malwaresuite die in het verleden door de Chinese hackgroep werd gebruikt.
Een derde aan China gelieerde dreigingsgroep is NegativeGlimmer, waarvan wordt aangenomen dat deze een zekere mate van overlap deelt met TGR-STA-1030, waarvan Palo Alto Networks Unit 42 eerder dit jaar documenteerde dat deze het afgelopen jaar minstens 70 overheids- en kritieke infrastructuurorganisaties in 37 landen had overtreden.
In ten minste één geval dat in december 2025 werd waargenomen, bleek dat de bedreigingsacteur zich richtte op een overheidsorganisatie in Panama, waarbij hij een DLL-side-loading-keten gebruikte die via spear-phishing was geïnitieerd om een downloader af te leveren die vervolgens AdaptixC2 implementeerde en tegelijkertijd een lokdocument aan het slachtoffer weergeeft.
Bij daaropvolgende iteraties in januari 2026 is AdaptixC2 vervangen door Cobalt Strike, waarbij ook infecties zijn gemeld in Cambodja en Zuid-Korea.
“Deze laatste doelstelling in Zuid-Korea sluit aan bij de aanhoudende interesse van Peking in strategische technologieën die prioriteit krijgen onder het industriële ontwikkelingsbeleid Made in China 2025”, aldus Jean-Ian Boutin van ESET.
