Một chiến dịch gián điệp mạng mới mang mã hiệu Operation Dragon Weave đã được quan sát thấy đang nhắm mục tiêu vào các quan chức và công dân tại Cộng hòa Séc và Đài Loan để phát tán tác nhân AdaptixC2.
Theo Seqrite Labs, các mục tiêu của chiến dịch bao gồm các lĩnh vực chính phủ, nghiên cứu, học thuật, công nghệ và dịch vụ tài chính. Hoạt động này liên quan đến việc phân phối các email spear-phishing chứa tệp đính kèm ZIP để kích hoạt chuỗi lây nhiễm, sử dụng một Rust loader để cài đặt mã độc cuối cùng nhằm trích xuất dữ liệu và điều khiển từ xa.
"Khi được giải nén, kho lưu trữ chứa nhiều tệp có vẻ hợp lệ nhưng thực chất là một phần của chuỗi lây nhiễm có cấu trúc được thiết kế để thực thi các tải trọng (payload) độc hại trong chế độ nền", nhà nghiên cứu bảo mật Priya Patel cho biết.
Chuỗi lây nhiễm đa phương thức
Chuỗi tấn công sử dụng hai con đường khác nhau để khởi chạy mã độc giai đoạn cuối. Một trình tự lây nhiễm bắt đầu khi người nhận mở tệp Windows Shortcut (LNK) độc hại được ngụy trang dưới dạng tài liệu PDF. Điều này dẫn đến việc thực thi một tập lệnh PowerShell chịu trách nhiệm trích xuất tệp thực thi ("RuntimeBroker_update.exe") từ tệp DAT trung gian và chạy nó.
Trong chuỗi tấn công thứ hai, nạn nhân trực tiếp khởi chạy một tệp nhị phân từ cùng một kho lưu trữ. Tệp nhị phân này hoạt động như một Rust-based dropper độc lập để chạy "RuntimeBroker_update.exe". Bất kể con đường nào được chọn, tệp thực thi sẽ tải một DLL độc hại ("UnityPlayer.dll") thông qua kỹ thuật DLL side-loading, dẫn đến việc triển khai một Rust-based loader có tên là RUSTCLOAK.
Trình tải sau đó sẽ giải mã và chạy payload chính, một tác nhân AdaptixC2 có mã hiệu AZUREVEIL, sử dụng Microsoft Azure Blob Storage làm trung tâm điều khiển Command-and-Control (C2). Trình tải được thiết kế để thực hiện các bước kiểm tra chống phân tích và chỉ tiếp tục nếu mã độc xác định rằng nó không chạy trong môi trường sandbox.
Phương pháp điều khiển C2 "Dead Drop"
"Mã độc chỉ giao tiếp với Azure Blob Storage, cùng một dịch vụ được hàng ngàn doanh nghiệp hợp pháp trên toàn thế giới sử dụng", Seqrite Labs cho biết. "Thay vì sử dụng mô hình C2 truyền thống, AZUREVEIL tuân theo phương pháp dead drop. Kẻ tấn công và hệ thống bị nhiễm không bao giờ giao tiếp trực tiếp. Thay vào đó, cả hai bên sử dụng cùng một bộ lưu trữ Azure để trao đổi dữ liệu."
AZUREVEIL hỗ trợ 36 lệnh cho phép nó thực hiện nhiều hành động sau khi xâm nhập, bao gồm thao tác tệp, tải lên và tải xuống tệp, thực thi lệnh shell, liệt kê và chấm dứt tiến trình, chuyển tiếp cổng (port forwarding), kiểm soát SOCKS proxy, quản lý máy chủ C2 và thực thi trong bộ nhớ các Beacon Object Files (BOFs).
Những khả năng này cấp cho kẻ tấn công quyền kiểm soát hoàn toàn đối với thiết bị đầu cuối bị xâm nhập. Mặc dù hoạt động này chưa được gán chính thức cho một nhóm cụ thể, nhưng nó được đánh giá là có liên kết với Trung Quốc.
Các hoạt động liên quan khác
Tiết lộ này được đưa ra khi Cato Networks cho biết họ đã phát hiện và ngăn chặn một nỗ lực xâm nhập vào chi nhánh tại Ấn Độ của một khách hàng sản xuất toàn cầu để cài đặt TencShell, một implant dựa trên ngôn ngữ Go chưa từng được tài liệu hóa trước đây, được phát triển từ khung rshell C2 mã nguồn mở.
Cuộc tấn công được cho là tác phẩm của các nhóm đe dọa có liên hệ với Trung Quốc dựa trên lịch sử sử dụng rshell, việc mạo danh API chủ đề Tencent và các mô hình hạ tầng. Vectơ truy cập ban đầu vẫn chưa được xác định.
Trong một báo cáo xuất bản tuần trước, ESET cho biết các nhóm đe dọa liên kết với Trung Quốc vẫn "hoạt động rất mạnh" trên toàn cầu từ tháng 10 năm 2025 đến tháng 3 năm 2026. Điều này bao gồm một cụm chưa được báo cáo có tên là SteppeDriver, nhắm vào các thực thể ở Pháp, Mông Cổ và Nam Mỹ bằng các công cụ như ShadowPad, COOLCLIENT, CurlyDoor, RudeGull và MKTDownloader.
Ngoài ra, một bộ công cụ mới liên kết với UNC5221 có tên là PhiliKit cũng được xác định, hoạt động như một backdoor thụ động để thực thi các lệnh shell, tập lệnh Python và Perl. Nghi ngờ rằng PhiliKit được triển khai như một phần của bộ mã độc SPAWN.
Một nhóm đe dọa khác là NegativeGlimmer, được cho là có sự trùng lặp với TGR-STA-1030, nhóm đã xâm nhập ít nhất 70 tổ chức chính phủ và hạ tầng trọng yếu tại 37 quốc gia trong năm qua.
Ít nhất một trường hợp vào tháng 12 năm 2025, nhóm này đã nhắm vào một tổ chức chính phủ ở Panama, sử dụng chuỗi DLL side-loading khởi đầu qua spear-phishing để cài đặt trình tải xuống, sau đó triển khai AdaptixC2 và đồng thời hiển thị một tài liệu giả mạo cho nạn nhân.
Các biến thể sau đó vào tháng 1 năm 2026 đã thay thế AdaptixC2 bằng Cobalt Strike, với các vụ nhiễm độc cũng được ghi nhận tại Campuchia và Hàn Quốc.
"Việc nhắm mục tiêu vào Hàn Quốc phù hợp với mối quan tâm lâu dài của Bắc Kinh đối với các công nghệ chiến lược được ưu tiên trong chính sách phát triển công nghiệp Made in China 2025", Jean-Ian Boutin của ESET nhận định.