Seqrite zufolge richtet sich „Operation Dragon Weave“ gegen ausgewählte Organisationen in der Tschechischen Republik und Taiwan. Das Ziel der Kampagne ist laut dem Anbieter der Abfluss von Daten. Besonders betroffen sind demnach staatliche und öffentliche Einrichtungen, Forschung und Wissenschaft, Technologie- und Softwareunternehmen sowie Finanzdienstleister.
Die Zuordnung nach China erfolgt laut Seqrite mit mittlerer Sicherheit. Eine Verbindung zu einer konkreten Gruppe aus dem Umfeld fortgeschrittener persistenter Bedrohungen hat das Unternehmen jedoch nicht gezogen. Alexis Rapin, Bedrohungsanalyst bei ESET, ordnet die Angriffe in einen größeren geopolitischen Kontext ein. Er erklärt, die Tschechische Republik sei derzeit wohl das europäische Land mit den engsten Beziehungen zu Taiwan und damit ein „natürliches“ Ziel für China-nahe Akteure. Auf Basis der ESET-Telemetrie habe das Interesse chinesischer APTs an tschechischen Zielen im Jahr 2023 deutlich zugenommen; am häufigsten betroffen seien Regierungsorganisationen, gefolgt von Hochschulen und dem Non-Profit-Sektor.
Der Angriff beginnt mit einer Spear-Phishing-Mail samt ZIP-Anhang. Darin befinden sich mehrere Dateien, darunter eine ausführbare Datei, die ein täuschend echt wirkendes PDF öffnet. In einem tschechischen Beispiel enthielt dieses Dokument plausible Hinweise dazu, was am Tag eines angeblichen Termins bei der ČSSZ zu tun sei.
Der primäre Infektionsweg führt laut Seqrite über eine enthaltene LNK-Verknüpfung. Wird sie angeklickt, startet sie ein PowerShell-Skript, das die benötigten Komponenten entschlüsselt und anschließend über eine Datei namens RuntimeBroker_update.exe ausführt. Daneben gibt es aber noch einen zweiten Weg: Öffnet das Opfer stattdessen die erwähnte ausführbare Datei, arbeitet diese laut Seqrite-Blogbeitrag als eigenständiger, in Rust geschriebener Dropper. Sie extrahiert alle erforderlichen Komponenten selbst und startet danach ebenfalls RuntimeBroker_update.exe. Gerade diese doppelte Bereitstellung macht die Kampagne technisch bemerkenswert.
RuntimeBroker_update.exe lädt eine schädliche DLL, die wiederum einen in Rust geschriebenen Loader mit der Bezeichnung „Rustcloak“ ausführt. Dieser Loader entschlüsselt und startet schließlich die eigentliche Nutzlast „Azureveil“, die Seqrite als Adaptix-C2-Agent verfolgt.
Rustcloak bringt laut Seqrite Funktionen zur Umgehung von Erkennung und Analyse mit. Der Loader liest den Computernamen des Systems aus und vergleicht ihn mit einer Liste von mehr als 100 bekannten Namen von Sandboxen und Analystenrechnern. Kommt es zu einer Übereinstimmung, beendet der Loader den Prozess, ohne die Nutzlast zu aktivieren.
Bei Azureveil hebt Seqrite vor allem die Kommunikationskomponente hervor. Statt eines klassischen abrufbasierten C2-Modells nutze die Schadsoftware einen Totbriefkasten-Ansatz über Microsoft Azure Blob Storage. Angreifer und infiziertes System kommunizieren dabei nicht direkt, sondern verwenden denselben Azure-Speichercontainer zum Austausch von Daten.
Der Agent lädt demnach in regelmäßigen Abständen ein kleines verschlüsseltes Beacon von rund 124 Byte hoch, um seine Aktivität zu signalisieren. Die Angreifer legen anschließend Befehle im selben Container ab. Azureveil ruft diese Befehle ab, entschlüsselt sie, führt sie aus und lädt die Ergebnisse wiederum als verschlüsselte Blobs hoch. Laut Seqrite können die Angreifer an diesem Punkt Befehle ausführen und Dateien vom Zielsystem abziehen.