De bedreigingsacteur bekend als Juwelbug richt zich sinds juli 2025 steeds meer op overheidsdoelen in Europa, ook al blijft het entiteiten in Zuidoost-Azië en Zuid-Amerika aanvallen.
Check Point Research volgt het cluster onder de naam Inkt Draak. Er wordt ook naar verwezen door de bredere cyberbeveiligingsgemeenschap onder de namen CL-STA-0049, Earth Alux en REF7707. De met China verbonden hackgroep is naar schatting sinds maart 2023 actief.
“De campagnes van de acteur combineren solide software-engineering, gedisciplineerde operationele draaiboeken en de bereidheid om platform-native tools te hergebruiken om op te gaan in de normale bedrijfstelemetrie”, zei het cyberbeveiligingsbedrijf in een technische analyse die dinsdag werd gepubliceerd. “Deze mix maakt hun inbraken zowel effectief als onopvallend.”
Eli Smadja, groepsmanager Products R&D bij Check Point Software, vertelde The Hacker News dat de activiteit nog steeds aan de gang is en dat de campagne “enkele tientallen slachtoffers heeft getroffen, waaronder overheidsinstanties en telecommunicatieorganisaties, in heel Europa, Azië en Afrika.”
Details van de bedreigingsgroep kwamen voor het eerst naar voren in februari 2025 toen Elastic Security Labs en Palo Alto Networks Unit 42 het gebruik van een achterdeur genaamd FINALDRAFT (ook bekend als Squidoor) gedetailleerd beschreven die zowel Windows- als Linux-systemen kan infecteren. De afgelopen maanden werd Ink Dragon ook beschuldigd van een vijf maanden durende inbraak gericht op een Russische IT-dienstverlener.
Aanvalsketens die door de tegenstander zijn opgezet, hebben gebruik gemaakt van kwetsbare diensten in internet-blootgestelde webapplicaties om webshells te laten vallen, die vervolgens worden gebruikt om extra ladingen zoals VARGEIT- en Cobalt Strike-bakens te leveren om command-and-control (C2), ontdekking, laterale beweging, verdedigingsontduiking en data-exfiltratie te vergemakkelijken.
Een andere opvallende achterdeur in het malwarearsenaal van de bedreigingsacteur is NANOREMOTE, dat de Google Drive API gebruikt voor het uploaden en downloaden van bestanden tussen de C2-server en het gecompromitteerde eindpunt. Check Point zegt dat het de malware niet is tegengekomen bij de inbraken en onderzoeken die het heeft waargenomen.
“Het is mogelijk dat de actor selectief tools uit een bredere toolkit inzet, afhankelijk van de omgeving van het slachtoffer, de operationele behoeften en de wens om op te gaan in legitiem verkeer”, aldus Smadja.
Ink Dragon heeft ook vertrouwd op voorspelbare of slecht beheerde sleutelwaarden van ASP.NET-machines om ViewState-deserialisatieaanvallen uit te voeren op kwetsbare IIS- en SharePoint-servers, en vervolgens een aangepaste ShadowPad IIS Listener-module te installeren om deze aangetaste servers onderdeel te maken van de C2-infrastructuur en hen in staat te stellen opdrachten en verkeer te proxyeren, waardoor de veerkracht in het proces wordt verbeterd.
“Dit ontwerp stelt aanvallers in staat om verkeer niet alleen dieper binnen het netwerk van één organisatie te routeren, maar ook over verschillende slachtoffernetwerken heen”, aldus Check Point. “Als gevolg hiervan kan het ene compromis stilletjes een nieuwe stap worden in een mondiale, meerlaagse infrastructuur die lopende campagnes elders ondersteunt, waarbij operationele controle wordt gecombineerd met strategisch hergebruik van eerder geschonden middelen.”
De luistermodule is ook uitgerust om verschillende opdrachten op de IIS-machine uit te voeren, waardoor aanvallers meer controle over het systeem krijgen om verkenningen uit te voeren en payloads te organiseren.
Naast het exploiteren van publiekelijk bekendgemaakte machinesleutels om ASP.NET ViewState-deserialisatie te bereiken, is gebleken dat de bedreigingsacteur ToolShell SharePoint-fouten als wapen gebruikt om webshells op gecompromitteerde servers te plaatsen. Andere stappen die door Ink Dragon worden uitgevoerd, worden hieronder vermeld –
- Gebruik de IIS-machinesleutel om een lokale beheerdersreferentie te verkrijgen en deze te gebruiken voor zijdelingse verplaatsing via een RDP-tunnel
- Maak geplande taken en installeer services om persistentie tot stand te brengen
- Dump LSASS-dumps en extraheer registercomponenten om escalatie van bevoegdheden te bewerkstelligen
- Pas de firewallregels van de host aan om uitgaand verkeer toe te staan en transformeer de geïnfecteerde hosts in een ShadowPad-relaynetwerk
“In ten minste één geval heeft de actor een inactieve RDP-sessie gevonden die toebehoorde aan een domeinbeheerder die was geverifieerd via Network Level Authentication (CredSSP) met behulp van NTLMv2 fallback. Omdat de sessie verbroken bleef maar niet werd afgemeld, is het zeer waarschijnlijk dat LSASS het bijbehorende aanmeldingstoken en de NTLM-verifier in het geheugen bewaarde”, aldus Check Point.
“Ink Dragon verkreeg toegang op SYSTEEMniveau tot de host, haalde het token (en mogelijk het NTLM-sleutelmateriaal) eruit en gebruikte het opnieuw om geauthenticeerde SMB-bewerkingen uit te voeren. Door deze acties waren ze in staat om naar administratieve shares te schrijven en NTDS.dit en registercomponenten te exfiltreren, wat het punt markeerde waarop ze domeinbrede escalatie en controle van bevoegdheden bereikten.”
Het is gebleken dat de inbraken berusten op een aantal componenten in plaats van op een enkele achterdeur of een monolithisch raamwerk om persistentie op de lange termijn tot stand te brengen. Deze omvatten –
- ShadowPad Loader, die wordt gebruikt om de ShadowPad-kernmodule in het geheugen te decoderen en uit te voeren
- CDBLoader, dat Microsoft Console Debugger (“cdb.exe”) gebruikt om shellcode uit te voeren en gecodeerde payloads te laden
- LalsDumper, die een LSASS-dump extraheert
- 032Loader, die wordt gebruikt om payloads te decoderen en uit te voeren
- FINALDRAFT, een bijgewerkte versie van de bekende tool voor extern beheer die misbruik maakt van Outlook en de Microsoft Graph API voor C2
“Het cluster heeft een nieuwe variant van FINALDRAFT-malware geïntroduceerd met verbeterde stealth en hogere exfiltratiedoorvoer, samen met geavanceerde ontwijkingstechnieken die heimelijke laterale verplaatsing en meerfasige malware-implementatie over gecompromitteerde netwerken mogelijk maken”, aldus Check Point.
“FINALDRAFT implementeert een modulair commandoframework waarin operators gecodeerde commandodocumenten naar de mailbox van het slachtoffer pushen, en het implantaat deze ophaalt, decodeert en uitvoert.”
Het cyberbeveiligingsbedrijf wees er ook op dat het bewijs had gedetecteerd van een tweede dreigingsactor, bekend als REF3927 (ook bekend als RudePanda) op “meerdere” van dezelfde slachtofferomgevingen die door Ink Dragon waren geschonden. Dat gezegd zijnde zijn er geen aanwijzingen dat de twee clusters operationeel met elkaar verbonden zijn. Er wordt aangenomen dat beide inbraaksets dezelfde initiële toegangsmethoden gebruikten om voet aan de grond te krijgen.
“Ink Dragon presenteert een dreigingsmodel waarin de grens tussen ‘gecompromitteerde host’ en ‘commando-infrastructuur’ niet langer bestaat”, concludeerde Check Point. “Elk steunpunt wordt een knooppunt in een groter, door de operator gecontroleerd netwerk – een levend netwerk dat sterker wordt met elk extra slachtoffer.”
“Verdedigers moeten daarom inbraken niet alleen zien als lokale inbreuken, maar ook als potentiële schakels in een extern, door de aanvaller beheerd ecosysteem, waar het afsluiten van een enkel knooppunt onvoldoende is, tenzij de hele relaisketen wordt geïdentificeerd en ontmanteld. De op relais gerichte architectuur van Ink Dragon behoort tot de meer volwassen toepassingen van ShadowPad die tot nu toe zijn waargenomen. Een blauwdruk voor langdurige toegang voor meerdere organisaties, gebouwd op de slachtoffers zelf.”
