Китайская кибератака на организации Чехии и Тайваня оказалась не очередным письмом «откройте вложение», а аккуратно собранной двухслойной схемой с облачным управлением через Azure. Для русскоязычных IT-команд здесь важен не столько геополитический сюжет, сколько техника: злоумышленники совместили spear phishing, LNK-файлы, PowerShell, Rust-лоадер и обмен командами через Azure Blob Storage, то есть через инфраструктуру, которая сама по себе не выглядит подозрительно.
О кампании Operation Dragon Weave сообщает Dark Reading со ссылкой на исследование Seqrite. По данным исследователей, цель атакующих — кража данных у организаций из нескольких понятных вертикалей: госсектор и публичные структуры, наука и образование, технологические компании и разработчики ПО, а также финансовые сервисы. Атаки были нацелены на конкретные организации в Чехии и на Тайване, а не распылялись по принципу «кому долетит».
Начинается все довольно буднично. Жертве приходит письмо с ZIP-вложением и правдоподобным предлогом открыть архив: например, уведомление о деловой встрече. В одном из чешских кейсов приманка была локализована под запись на прием в Чешское управление социального обеспечения. В архиве лежит несколько файлов, включая исполняемый файл, который показывает отвлекающий PDF с реалистичным содержимым, и ярлык LNK. Если пользователь запускает этот ярлык, тот поднимает PowerShell-скрипт, расшифровывает нужные компоненты и передает выполнение файлу RuntimeBroker_update.exe.
На этом месте и появляется то, что делает китайскую кибератаку особенно неприятной для защитников: у заражения есть запасной путь. Если жертва не нажимает на LNK, а открывает тот самый EXE-файл из архива, он сам работает как автономный дроппер, написанный на Rust. Файл извлекает те же компоненты и запускает тот же RuntimeBroker_update.exe. Иными словами, атакующие подстраховали доставку сразу двумя механизмами внутри одного вложения. Для SOC и IR-команд это плохая новость: сценарии детекта, завязанные только на LNK или только на PowerShell, в такой цепочке легко дают слепую зону.
Дальше цепочка становится уже ближе к привычной APT-механике. RuntimeBroker_update.exe загружает вредоносную DLL, которая запускает Rust-based loader под именем Rustcloak. Его задача — расшифровать и поднять финальную нагрузку, известную как Azureveil. Seqrite описывает Azureveil как агент command-and-control на базе Adaptix. При этом Rustcloak интересен не только ролью промежуточного загрузчика. В него встроены функции против анализа и детекта: он получает имя компьютера и сверяет его со списком из более чем 100 известных названий песочниц и машин аналитиков. Совпало — процесс завершается, вредоносная нагрузка не активируется. Для исследователей вредоносов это уже не экзотика, но для корпоративной защиты это напоминание: часть инцидентов может выглядеть «тихой» не потому, что атаки не было, а потому что малварь решила не раскрывать карты.
Самый любопытный элемент истории — Azureveil и его канал управления. Вместо классической C2-схемы, где зараженная машина напрямую общается с сервером злоумышленника, здесь используется модель dead-drop: обе стороны работают с одним и тем же контейнером в Azure Blob Storage. Агент периодически выгружает маленький зашифрованный beacon размером около 124 байт, давая понять, что хост жив. Оператор помещает туда же команды, малварь их забирает, расшифровывает, исполняет и возвращает результат обратно в виде зашифрованных blob-объектов. С инженерной точки зрения ход простой и неприятно практичный: сетевой трафик идет к легитимному облачному сервису Microsoft, а прямого соединения с «вредоносным» сервером вообще нет. Для компаний, которые давно привыкли белить трафик к крупным облакам, это отдельная головная боль.
Почему в списке целей оказалась Чехия, Dark Reading отдельно поясняет через комментарий аналитика ESET Алексиса Рапена. По его оценке, Чехия сейчас, вероятно, самая тесно связанная с Тайванем европейская страна, поэтому для китайских угрозоносных групп она выглядит естественной целью. По телеметрии ESET, китайские APT-актеры начали заметно чаще интересоваться Чехией с 2023 года, причем в первую очередь государственными организациями. На втором месте — академический и некоммерческий сектор. В сочетании с напряжением вокруг Тайваня и позицией Праги по войне России против Украины это выглядит не как разовая операция, а как устойчивый приоритет разведсбора.
Для разработчиков, администраторов и ИБ-руководителей в этой истории нет утешительного вывода в духе «достаточно еще одного тренинга по фишингу». Пользовательская осведомленность нужна, но ее явно недостаточно, когда одна и та же посылка умеет заражать систему двумя путями, а C2 маскируется под обычный облачный обмен. Практический минимум здесь довольно приземленный: централизованные логи и SIEM, EDR/XDR на конечных точках, мониторинг аномального запуска процессов, контроль целостности файлов, фильтрация почты и отдельные правила на LNK, PowerShell-цепочки и подозрительную работу с Blob Storage. Особенно это касается компаний, где сотрудники регулярно получают внешние архивы, «служебные» PDF и документы от партнеров, госструктур или кадровых агентств. Китайская кибератака из этого кейса хорошо показывает, что даже скучная деловая переписка может оказаться упаковкой для довольно современного шпионского инструментария.
Главный тренд здесь не в том, что APT-группы снова рассылают фишинг, а в том, что они все увереннее прячут управление внутри легитимных облаков и одновременно закладывают резервные пути заражения. Если эта модель приживется шире, корпоративной защите придется внимательнее смотреть не только на вредоносные домены, но и на «нормальный» трафик к облачным платформам, который раньше проходил почти по умолчанию. Подробности кейса можно посмотреть в .