Когда даже облако Microsoft работает на китайскую разведку. Что известно об операции Dragon Weave
NewsMakerЛегитимный сервис стал ширмой для операции, которую трудно заметить в обычном трафике.
Кибершпионаж всё чаще маскируется под обычные рабочие документы и привычные облачные сервисы. Специалисты Seqrite обнаружили новую целевую кампанию под названием Operation Dragon Weave, в рамках которой злоумышленники атаковали жителей и должностных лиц Чехии и Тайваня, используя поддельные документы и инфраструктуру Microsoft Azure для скрытого управления заражёнными компьютерами.
Следы операции впервые зафиксировали в марте 2026 года. Анализ показал, что атака начинается с ZIP-архива, внутри которого находятся файлы, замаскированные под официальные уведомления. Для пользователей Тайваня злоумышленники подготовили документы на традиционном китайском языке, а для Чехии использовали поддельное уведомление от Чешского управления социального обеспечения с указанием конкретной даты приёма и персональных данных вымышленного получателя.
После открытия вложения запускается многоступенчатая цепочка заражения. В одном случае используется ярлык Windows с двойным расширением, выдающий себя за PDF-файл. В другом жертве предлагают открыть исполняемый файл, который выглядит как официальный документ. Оба варианта приводят к запуску вредоносного кода через механизм подгрузки DLL-библиотек.
Ключевую роль играет загрузчик на языке Rust , получивший название RUSTCLOAK. Программа проверяет, не находится ли компьютер в песочнице или среде анализа. Если обнаруживается один из известных признаков исследовательской инфраструктуры, выполнение прекращается. Такой подход помогает скрываться от автоматических систем обнаружения.
Затем загрузчик расшифровывает основной модуль AZUREVEIL. Для защиты используются сразу несколько уровней шифрования, включая модифицированный RC4 и китайский алгоритм SM4. Финальный компонент работает исключительно в памяти и практически не оставляет следов на диске.
Наиболее необычной особенностью кампании стало использование Azure Blob Storage в качестве канала управления. Вместо традиционного сервера злоумышленники обмениваются данными через облачное хранилище Microsoft.
Заражённый компьютер периодически загружает зашифрованные сигналы о своей активности, получает команды из того же контейнера и отправляет результаты выполнения обратно. Благодаря тому, что трафик выглядит как обычное взаимодействие с популярным облачным сервисом, обнаружить такую активность значительно сложнее.
AZUREVEIL поддерживает 36 различных команд. Вредоносная программа способна выполнять команды оболочки, передавать файлы, собирать сведения о системе, управлять процессами, создавать прокси-соединения и запускать дополнительный код непосредственно в памяти. Такой набор возможностей позволяет полностью контролировать заражённое устройство и незаметно похищать данные.
Во время анализа специалисты нашли следы ошибки разработчика. В коде сохранился путь к рабочему компьютеру, содержащий имя пользователя «dell2» и сведения об используемых библиотеках. Однако этих данных оказалось недостаточно для точной идентификации группы.
Авторы отчёта считают, что Operation Dragon Weave связана с китайской хакерской группой. На такую версию указывают методы работы, инструменты и выбор целей. При этом прямых доказательств принадлежности операции какой-либо известной группировке пока не найдено.
Кибершпионаж всё чаще маскируется под обычные рабочие документы и привычные облачные сервисы. Специалисты Seqrite обнаружили новую целевую кампанию под названием Operation Dragon Weave, в рамках которой злоумышленники атаковали жителей и должностных лиц Чехии и Тайваня, используя поддельные документы и инфраструктуру Microsoft Azure для скрытого управления заражёнными компьютерами.
Следы операции впервые зафиксировали в марте 2026 года. Анализ показал, что атака начинается с ZIP-архива, внутри которого находятся файлы, замаскированные под официальные уведомления. Для пользователей Тайваня злоумышленники подготовили документы на традиционном китайском языке, а для Чехии использовали поддельное уведомление от Чешского управления социального обеспечения с указанием конкретной даты приёма и персональных данных вымышленного получателя.
После открытия вложения запускается многоступенчатая цепочка заражения. В одном случае используется ярлык Windows с двойным расширением, выдающий себя за PDF-файл. В другом жертве предлагают открыть исполняемый файл, который выглядит как официальный документ. Оба варианта приводят к запуску вредоносного кода через механизм подгрузки DLL-библиотек.
Ключевую роль играет загрузчик на языке Rust , получивший название RUSTCLOAK. Программа проверяет, не находится ли компьютер в песочнице или среде анализа. Если обнаруживается один из известных признаков исследовательской инфраструктуры, выполнение прекращается. Такой подход помогает скрываться от автоматических систем обнаружения.
Затем загрузчик расшифровывает основной модуль AZUREVEIL. Для защиты используются сразу несколько уровней шифрования, включая модифицированный RC4 и китайский алгоритм SM4. Финальный компонент работает исключительно в памяти и практически не оставляет следов на диске.
Наиболее необычной особенностью кампании стало использование Azure Blob Storage в качестве канала управления. Вместо традиционного сервера злоумышленники обмениваются данными через облачное хранилище Microsoft.
Заражённый компьютер периодически загружает зашифрованные сигналы о своей активности, получает команды из того же контейнера и отправляет результаты выполнения обратно. Благодаря тому, что трафик выглядит как обычное взаимодействие с популярным облачным сервисом, обнаружить такую активность значительно сложнее.
AZUREVEIL поддерживает 36 различных команд. Вредоносная программа способна выполнять команды оболочки, передавать файлы, собирать сведения о системе, управлять процессами, создавать прокси-соединения и запускать дополнительный код непосредственно в памяти. Такой набор возможностей позволяет полностью контролировать заражённое устройство и незаметно похищать данные.
Во время анализа специалисты нашли следы ошибки разработчика. В коде сохранился путь к рабочему компьютеру, содержащий имя пользователя «dell2» и сведения об используемых библиотеках. Однако этих данных оказалось недостаточно для точной идентификации группы.
Авторы отчёта считают, что Operation Dragon Weave связана с китайской хакерской группой. На такую версию указывают методы работы, инструменты и выбор целей. При этом прямых доказательств принадлежности операции какой-либо известной группировке пока не найдено.