Operation Dragon Weave spia Repubblica Ceca e Taiwan con malware Rust avanzati su Azure Blob

La campagna Operation Dragon Weave rappresenta una delle più sofisticate operazioni di spionaggio informatico emerse nel corso del 2026. L’indagine pubblicata da Seqrite Labs attribuisce con moderata confidenza l’attività a un attore legato alla Cina, evidenziando una strategia operativa che combina cloud abuse, malware modulari, evasione avanzata e infrastrutture legittime per ridurre al minimo la rilevabilità. Gli obiettivi individuati si concentrano principalmente nella Repubblica Ceca e a Taiwan, due aree di particolare interesse strategico per attività di intelligence economica, tecnologica e governativa. L’elemento più innovativo dell’operazione consiste nell’utilizzo di Azure Blob Storage come piattaforma di comando e controllo dead-drop, eliminando la necessità di server C2 tradizionali e rendendo il traffico malevolo quasi indistinguibile dalle normali comunicazioni verso servizi cloud Microsoft. La campagna dimostra come gli attori statali stiano progressivamente abbandonando infrastrutture dedicate per sfruttare ecosistemi cloud affidabili e difficili da bloccare senza impatti operativi sulle organizzazioni bersaglio.

Repubblica Ceca e Taiwan nel mirino dello spionaggio strategico

L’analisi di Seqrite prende avvio da un archivio ZIP caricato su VirusTotal il 26 marzo 2026 da Taiwan. All’interno del pacchetto erano presenti documenti esca e componenti malevoli accuratamente progettati per apparire credibili alle vittime. In Repubblica Ceca gli attaccanti hanno utilizzato una falsa comunicazione della Česká správa sociálního zabezpečení (ČSSZ) indirizzata a una cittadina identificata come Zuzana Košková, mentre a Taiwan il documento simulava una notifica ufficiale relativa all’approvazione di un progetto governativo. La scelta di contenuti localizzati dimostra un’attività di preparazione accurata e una conoscenza approfondita del contesto delle vittime. Gli obiettivi individuati appartengono ai settori governativo, accademico, ricerca scientifica, tecnologia e servizi finanziari, tutti comparti tradizionalmente associati a campagne di spionaggio strategico. La contemporanea presenza di target europei e taiwanesi suggerisce una raccolta informativa orientata sia alla ricerca tecnologica sia alle relazioni internazionali, confermando il valore geopolitico attribuito dagli attori cinesi alle informazioni detenute da questi ecosistemi.

Una catena di infezione multi-stage progettata per eludere i controlli

La struttura dell’attacco si sviluppa attraverso due percorsi distinti che convergono verso lo stesso payload finale. Nel primo scenario la vittima apre un file LNK mascherato da documento PDF. Il collegamento avvia wscript.exe, che esegue silenziosamente uno script VBS denominato empty.vbs. Questo componente richiama successivamente PowerShell per eseguire il file Profile.ps1 in modalità nascosta e con policy di esecuzione bypassata. Lo script procede alla decifratura del file 1.dat mediante una chiave XOR identificata come “P@ssw0rd_am_2026”, generando il componente RuntimeBroker_update.exe.

Il secondo percorso utilizza invece un eseguibile compilato in Rust che simula direttamente il documento atteso dalla vittima. Questo dropper crea una cartella dedicata all’interno di %LOCALAPPDATA%\WebViewFixUtility, installa i file necessari e prosegue autonomamente verso gli stadi successivi dell’infezione. Entrambe le catene convergono sull’esecuzione di RuntimeBroker_update.exe, elemento centrale dell’infrastruttura malevola. Per mantenere la copertura, il malware apre contestualmente un documento PDF legittimo, consentendo all’utente di visualizzare l’esca prevista mentre l’infezione procede in background senza segnali evidenti.

RUSTCLOAK sfrutta Rust e tecniche anti-analisi avanzate

Uno dei componenti più interessanti della campagna è RUSTCLOAK, un loader sviluppato in Rust che evidenzia il crescente interesse degli attori APT verso questo linguaggio. Rust offre infatti maggiore resistenza alle analisi statiche tradizionali, produce binari complessi da reverse engineering e consente un controllo dettagliato delle risorse di sistema. L’analisi del campione ha rivelato riferimenti a librerie come libsm-0.5.1 e base64-0.21.7, oltre a un percorso di sviluppo che contiene il nome utente “dell2”, elemento potenzialmente utile per future attribuzioni. Prima di eseguire il payload, RUSTCLOAK verifica la presenza di oltre cento nomi di host associati a sandbox, laboratori di analisi e ambienti virtualizzati.

Se individua una corrispondenza, termina immediatamente l’esecuzione per evitare il rilevamento. Il malware utilizza una complessa procedura di decifratura a tre livelli che combina RC4 custom, Base64 e SM4-CBC, algoritmo crittografico largamente utilizzato in contesti cinesi. Una volta ottenuto il payload finale, questo viene allocato tramite VirtualAlloc, protetto con VirtualProtect ed eseguito attraverso il meccanismo delle Windows Fibers, tecnica che permette di aggirare numerosi strumenti di monitoraggio basati su hook tradizionali.

AZUREVEIL trasforma Azure Blob Storage in un centro di comando occulto

Il cuore operativo dell’infrastruttura è rappresentato da AZUREVEIL, una DLL a 64 bit compilata con MinGW C++ e strettamente collegata al framework Adaptix. Questo agente opera esclusivamente attraverso Azure Blob Storage, eliminando completamente la necessità di server C2 dedicati. L’endpoint individuato dagli analisti è note1ggbbhggdwa1.blob.core.windows.net, utilizzato come punto di scambio per comandi e dati tra gli operatori e le macchine compromesse. L’agente genera beacon cifrati da 124 byte e utilizza il container “/note/ats/” per archiviare file organizzati secondo una struttura basata su identificativi univoci e timestamp.

Un elemento particolarmente rilevante è la presenza di un token SAS hardcoded valido dal marzo 2026 al marzo 2027 e dotato di privilegi completi di lettura, scrittura e cancellazione. Grazie a questa configurazione gli operatori possono gestire l’intera infrastruttura direttamente attraverso Azure senza esporre server riconducibili all’operazione. AZUREVEIL implementa inoltre un sistema di risoluzione dinamica di 87 API Windows tramite hashing djb2, riducendo ulteriormente la superficie di rilevamento da parte delle soluzioni di sicurezza tradizionali.

Adaptix fornisce capacità di post-sfruttamento complete

Le funzionalità offerte da AZUREVEIL collocano la piattaforma tra gli strumenti più completi osservati negli ultimi mesi. Il framework supporta almeno 36 comandi differenti che consentono agli operatori di navigare il filesystem, trasferire file, eseguire processi, raccogliere informazioni di sistema e gestire connessioni di rete avanzate. Sono presenti capacità di TCP forwarding, UDP forwarding, tunneling, enumerazione dei processi e caricamento in memoria di Beacon Object Files (BOF), una tecnica largamente associata alle moderne operazioni di post-exploitation. Tutte le comunicazioni vengono cifrate e il malware utilizza named pipe locali per trasferire dati tra moduli interni e componente cloud. Questa architettura riduce la generazione di artefatti sul disco e rende estremamente complessa la ricostruzione delle attività dell’attaccante. L’uso di Adaptix conferma inoltre la tendenza degli operatori avanzati ad adottare framework modulari che permettono di sostituire rapidamente componenti compromessi senza modificare l’intera infrastruttura operativa.

Azure come dead-drop ridefinisce le strategie di rilevamento

Uno degli aspetti più significativi di Operation Dragon Weave riguarda l’abuso di servizi cloud legittimi come piattaforme di comando e controllo. Tradizionalmente molte organizzazioni basano il rilevamento di attività malevole su blacklist IP, reputazione dei domini e analisi delle infrastrutture esterne. In questo caso, però, il traffico viene instradato verso un servizio legittimo di Microsoft Azure, rendendo inefficaci numerosi controlli convenzionali. Bloccare indiscriminatamente l’accesso a Azure potrebbe compromettere servizi aziendali essenziali, mentre consentire il traffico espone le organizzazioni al rischio di comunicazioni malevole nascoste all’interno di flussi apparentemente normali. Questo approccio riflette una tendenza crescente osservata anche in altre campagne attribuite ad attori statali, dove piattaforme cloud, repository pubblici e servizi SaaS vengono trasformati in infrastrutture offensive. L’obiettivo è sfruttare la fiducia implicita verso grandi provider per ridurre la probabilità di individuazione e aumentare la persistenza delle operazioni.

Tecniche di evasione progettate per sopravvivere alle difese moderne

L’intera campagna evidenzia un elevato livello di maturità tecnica. L’utilizzo di DLL sideloading, reflective loading, in-memory execution, sandbox evasion e multi-layer encryption mostra una conoscenza approfondita dei meccanismi di rilevamento adottati dai prodotti EDR contemporanei. L’assenza di server dedicati, l’uso di Rust, la cifratura multilivello e il ricorso a infrastrutture cloud affidabili consentono agli operatori di ridurre significativamente gli indicatori osservabili. Anche il semplice utilizzo di documenti esca localizzati in lingue specifiche dimostra una fase di ricognizione accurata e una pianificazione orientata a massimizzare la probabilità di successo. Le organizzazioni colpite si trovano quindi di fronte a un avversario che non punta soltanto allo sfruttamento iniziale, ma investe risorse considerevoli nella permanenza a lungo termine e nell’occultamento delle proprie attività.

Implicazioni per la sicurezza europea e taiwanese

L’operazione assume particolare rilevanza per il contesto geopolitico attuale. La contemporanea presenza di obiettivi nella Repubblica Ceca e a Taiwan suggerisce interessi strategici legati a ricerca, innovazione, tecnologia e relazioni internazionali. Taiwan continua a rappresentare un bersaglio prioritario per le attività di intelligence cinesi, soprattutto in relazione al settore dei semiconduttori e delle tecnologie avanzate. La Repubblica Ceca, invece, ospita importanti centri di ricerca e mantiene relazioni sempre più strette con Taipei, diventando un punto di osservazione privilegiato per attori interessati alla cooperazione tecnologica tra Europa e Asia. Operation Dragon Weave dimostra che le campagne moderne di spionaggio non si limitano più al furto di documenti governativi, ma mirano a ecosistemi complessi composti da università, istituti di ricerca, aziende software e organismi finanziari. La capacità di raccogliere informazioni provenienti da settori differenti consente infatti di costruire una visione strategica molto più ampia rispetto agli obiettivi tradizionali.

Dragon Weave conferma l’evoluzione dello spionaggio cloud-native

L’analisi di Seqrite mostra come gli attori collegati alla Cina stiano evolvendo rapidamente le proprie capacità offensive adottando infrastrutture cloud-native, malware sviluppati in Rust e framework modulari come Adaptix. Operation Dragon Weave rappresenta un esempio concreto di questa trasformazione. L’abbandono dei tradizionali server C2 a favore di Azure Blob Storage, la combinazione di tecniche di evasione avanzate e l’impiego di payload eseguiti interamente in memoria dimostrano un livello di sofisticazione destinato a diventare sempre più comune nelle operazioni di spionaggio statale. Per le organizzazioni europee, taiwanesi e internazionali, la lezione è chiara: le difese basate esclusivamente su indicatori statici non sono più sufficienti. Diventa necessario investire in rilevamento comportamentale, analisi della memoria, monitoraggio approfondito delle attività cloud e programmi di formazione contro lo spearphishing localizzato. Solo un approccio multilivello che integri persone, processi e tecnologie può contrastare campagne di questo livello e limitare l’efficacia di operazioni come Dragon Weave.