Die Infektionskette von Operation Dragon Weave nutzt zwei Wege zum Start der eigentlichen Schadsoftware. Im ersten Fall öffnet das Opfer eine als PDF getarnte Windows-Verknüpfung (LNK-Datei) aus dem ZIP-Archiv. Diese startet ein PowerShell-Skript, das eine ausführbare Datei namens „RuntimeBroker_update.exe" aus einer zwischengeschalteten DAT-Datei extrahiert und ausführt. Im zweiten Fall startet das Opfer direkt eine Binärdatei aus demselben Archiv, die als eigenständiger, in Rust geschriebener Dropper dieselbe „RuntimeBroker_update.exe" lädt.
Unabhängig vom gewählten Weg lädt die ausführbare Datei per DLL-Side-Loading eine schädliche DLL („UnityPlayer.dll"), wodurch ein Rust-Loader namens RUSTCLOAK zum Einsatz kommt. Dieser entschlüsselt und startet die Hauptnutzlast, einen AdaptixC2-Agenten mit dem Decknamen AZUREVEIL. Der Name verweist auf die Nutzung von Microsoft Azure Blob Storage für die Steuerung (Command-and-Control). Der Loader führt zuvor Anti-Analyse-Prüfungen durch.
Laut Seqrite Labs kommuniziert die Schadsoftware ausschließlich mit Azure Blob Storage – demselben Dienst, den weltweit tausende legitime Unternehmen verwenden. Statt eines klassischen, abrufbasierten C2-Modells folge AZUREVEIL einem „Toter-Briefkasten"-Ansatz: Angreifer und infiziertes System tauschen nie direkt Daten aus, sondern nutzen denselben Azure-Speichercontainer. AZUREVEIL beherrscht 36 Befehle, darunter Dateioperationen, das Hoch- und Herunterladen von Dateien, die Ausführung von Shell-Befehlen, das Auflisten und Beenden von Prozessen, Port-Weiterleitung, SOCKS-Proxy-Steuerung sowie die speicherinterne Ausführung von Beacon Object Files (BOFs).
Parallel meldet Cato Networks, einen Angriffsversuch auf die indische Niederlassung eines nicht genannten weltweit tätigen Fertigungsunternehmens erkannt und blockiert zu haben. Eingesetzt werden sollte dabei TencShell, ein bislang nicht dokumentiertes, in Go geschriebenes Implantat auf Basis des quelloffenen C2-Frameworks rshell. Aufgrund der bisherigen Nutzung von rshell, der Imitation Tencent-typischer API-Aufrufe sowie der Infrastrukturmuster ordnen die Forscher Idan Tarab, Guy Waizel, Zohar Buber und Shani Kurtzberg den Angriff China-nahen Akteuren zu. Der ursprüngliche Zugangsweg ist unbekannt.
In einem kürzlich veröffentlichten Bericht stuft ESET China-nahe Akteure von Oktober 2025 bis März 2026 als weltweit „hochaktiv" ein. Dazu zählt ein bislang nicht gemeldeter Cluster namens SteppeDriver, der 2024 erstmals entdeckt wurde und Ziele in Frankreich, der Mongolei und Südamerika mit Werkzeugen wie ShadowPad, COOLCLIENT, CurlyDoor, RudeGull und MKTDownloader angriff. Ebenfalls neu ist ein dem Akteur UNC5221 zugeschriebenes Toolkit namens PhiliKit, eine passive Hintertür zur Ausführung von Shell-Befehlen sowie Python- und Perl-Skripten; vermutlich gehört es zur SPAWN-Schadsoftwarefamilie.
Eine dritte Gruppe, NegativeGlimmer, weist laut ESET Überschneidungen mit TGR-STA-1030 auf, die Palo Alto Networks Unit 42 zuvor in diesem Jahr beschrieben hatte: Sie soll im vergangenen Jahr mindestens 70 Regierungs- und kritische Infrastruktureinrichtungen in 37 Ländern kompromittiert haben. In einem Fall im Dezember 2025 zielte der Akteur über eine per Spear-Phishing eingeleitete DLL-Side-Loading-Kette auf eine Regierungsstelle in Panama und setzte dabei AdaptixC2 ein, begleitet von einem Köderdokument. In Folgeversionen im Januar 2026 ersetzte die Gruppe AdaptixC2 durch Cobalt Strike; Infektionen wurden auch in Kambodscha und Südkorea gemeldet. Die Angriffe in Südkorea passten laut ESETs Jean-Ian Boutin zu Pekings anhaltendem Interesse an strategischen Technologien im Rahmen der Industriepolitik „Made in China 2025".
