Die Sicherheitsexperten von Seqrite Labs haben die bislang undokumentierte Kampagne analysiert und dokumentiert, wie Angreifer über Spear-Phishing-E-Mails mit ZIP-Archiven arbeiten. Diese Archive enthalten scheinbar legitime Dateien, die tatsächlich Teil einer mehrschrittigen Infektionskette sind.
Die Angriffsmechaniken nutzen zwei unterschiedliche Infektionspfade: Im ersten Szenario öffnet das Opfer eine manipulierte Windows-Shortcut-Datei (LNK), die sich als PDF ausgibt. Dies startet ein PowerShell-Skript, das eine ausführbare Datei namens “RuntimeBroker_update.exe” aus einer DAT-Datei extrahiert. Im zweiten Angriffsverlauf führt das Opfer direkt eine Binärdatei aus dem Archiv aus – einen in Rust geschriebenen Dropper, der dieselbe ausführbare Datei startet.
In beiden Fällen wird eine bösartige DLL namens “UnityPlayer.dll” durch DLL-Side-Loading geladen. Dies aktiviert den sogenannten RUSTCLOAK-Loader, einen Rust-basierten Mechanismus, der die Hauptnutzlast entschlüsselt: den AdaptixC2-Agent, intern AZUREVEIL genannt.
Das Besondere an AZUREVEIL ist die Nutzung von Microsoft Azure Blob Storage als Command-and-Control-Infrastruktur. Statt direkter Kommunikation zwischen Angreifer und infiziertem System folgt die Malware einem “Dead Drop”-Ansatz – beide Seiten nutzen denselben Azure-Storage-Container zum Datenaustausch. Dies erschwert die Detektion erheblich, da der Datenverkehr sich von legitimen Cloud-Diensten kaum unterscheidet.
Der Agent unterstützt 36 verschiedene Befehle, darunter Dateiverwaltung, Shell-Befehlsausführung, Prozessauflistung, Port-Forwarding und die Ausführung von Beacon Object Files im Speicher. Dies ermöglicht umfassende Post-Exploitation-Aktivitäten.
Parallel zur Operation Dragon Weave dokumentierten Sicherheitsforscher zusätzliche Kampagnen: Eine Eindringung gegen eine indische Niederlassung eines multinationalen Herstellers zeigte den Einsatz von TencShell, einem neuen Go-basierten Implant basierend auf dem Open-Source-Framework rshell. Merkmale wie Tencent-API-Nachahmung und Infrastruktur-Patterns deuten auf chinesische Angreifer hin.
Eset-Forscher berichten von erhöhter Aktivität chinesischer Bedrohungsakteure von Oktober 2025 bis März 2026. Besonders bemerkenswert ist die SteppeDriver-Gruppe, die Entitäten in Frankreich, der Mongolei und Südamerika mit Tools wie ShadowPad und COOLCLIENT angegriffen hat. Auch die neue PhiliKit-Backdoor und die Gruppe NegativeGlimmer zeigen kontinuierliche Spionageoperationen gegen kritische Infrastrukturen in mindestens 37 Ländern.
Für deutsche Organisationen empfehlen Sicherheitsexperten erhöhte Wachsamkeit bei E-Mail-Anhängen, kontinuierliches Monitoring von Azure-Cloud-Aktivitäten und die Implementierung von Multi-Faktor-Authentifizierung.