Operation Dragon Weave: Grupos Alinhados à China Intensificam Ataques contra República Tcheca e Taiwan

Uma nova campanha de espionagem cibernética batizada de Operation Dragon Weave tem alvejado autoridades e cidadãos da República Tcheca e de Taiwan, entregando o agente AdaptixC2 a setores estratégicos como governo, pesquisa, academia, tecnologia e serviços financeiros. Em paralelo, a ESET atribuiu uma operação irmã — chamada DigitalPulse — ao grupo PlushDaemon, vinculado a Pequim, com vítimas em 37 países nos últimos doze meses.

O que aconteceu

Pesquisadores da Seqrite Labs identificaram a campanha Dragon Weave após observar uma série de e-mails de spear-phishing carregando anexos ZIP cuidadosamente preparados. Os arquivos compactados aparentam ser legítimos, mas escondem uma cadeia de infecção estruturada que utiliza um loader desenvolvido em Rust para baixar e executar o payload final, responsável pela exfiltração de dados e pelo controle remoto da máquina infectada.

Os alvos prioritários incluem ministérios, instituições acadêmicas e organizações privadas de tecnologia e finanças nos dois países afetados. A escolha de República Tcheca e Taiwan reforça o padrão de interesse geopolítico de atores alinhados ao governo chinês: o primeiro funciona como hub europeu de pesquisa e indústria sensível, enquanto o segundo é alvo histórico e permanente de operações de coleta de inteligência.

Em paralelo, a ESET publicou suas conclusões sobre a Operation DigitalPulse, atribuindo a atividade ao grupo PlushDaemon. Segundo a empresa, a campanha tem como alvo provedores de internet, órgãos governamentais, indústria de semicondutores, eletrônicos e operadores de infraestrutura crítica em pelo menos 37 países diferentes ao longo do último ano.

Como o ataque funciona

A cadeia de infecção observada na Dragon Weave segue dois caminhos distintos para alcançar o estágio final. No primeiro, a vítima é induzida a abrir um atalho do Windows (arquivo LNK) disfarçado de PDF dentro do ZIP. A execução desse atalho aciona o binário legítimo e assinado Wmpnotify.exe, abusado para iniciar componentes maliciosos via DLL side-loading. Já o segundo caminho parte de um arquivo CHM (compiled HTML help) que embute JavaScript responsável por carregar um loader em Rust apelidado de AltLoader.

O destino comum dos dois fluxos é o AdaptixC2, framework open-source de comando e controle que vem ganhando tração entre operadores ofensivos como alternativa ao Cobalt Strike e ao Sliver. A adoção de ferramentas comerciais ou abertas, em vez de implants proprietários, dificulta a atribuição e permite que diferentes grupos compartilhem infraestrutura sem deixar rastros únicos.

“Quando extraído, o arquivo contém múltiplos componentes que parecem legítimos, mas que na verdade fazem parte de uma cadeia de infecção estruturada projetada para executar payloads maliciosos em segundo plano”, afirmou a pesquisadora Priya Patel.

Quem é afetado

• Órgãos governamentais e diplomáticos na República Tcheca e em Taiwan
• Centros de pesquisa e instituições acadêmicas
• Empresas de tecnologia e cadeia de fornecimento de semicondutores
• Provedores de internet (especialmente no escopo da DigitalPulse)
• Operadores de infraestrutura crítica em 37 países, incluindo Panamá, Camboja e Coreia do Sul
• Bancos e instituições financeiras de médio e grande porte nos países-alvo

Análise

O caso Dragon Weave consolida uma tendência que vem se acentuando desde 2024: a substituição gradual do Cobalt Strike por frameworks alternativos como AdaptixC2, Brute Ratel e Sliver. O movimento não é coincidência. Vendors de EDR aprenderam a detectar artefatos do Cobalt Strike com alta eficácia, e equipes ofensivas — tanto criminosas quanto patrocinadas por Estados — precisaram migrar para opções com menor superfície de assinatura. AdaptixC2, por ser open-source e modular, oferece a flexibilidade que o atacante moderno busca.

A coexistência com a Operation DigitalPulse, atribuída ao PlushDaemon pela ESET, sugere também uma economia de ferramentas dentro do ecossistema chinês de espionagem. O fato de a mesma família de implants aparecer em campanhas distintas, com TTPs apenas levemente diferentes, indica que estamos diante de uma cadeia de suprimentos ofensiva compartilhada — algo que já é regra no submundo russo e que se torna cada vez mais comum na esfera APT chinesa. O comentário de Jean-Ian Boutin, da ESET, sobre o interesse contínuo de Pequim em “tecnologias estratégicas priorizadas pela política Made in China 2025” não é retórica: é a confirmação de que o alvo segue sendo a transferência forçada de propriedade intelectual e know-how industrial.

Recomendações práticas

• Bloquear ou colocar em quarentena anexos ZIP que contenham arquivos LNK ou CHM em gateways de e-mail
• Monitorar execuções anômalas do Wmpnotify.exe e de outros binários legítimos suscetíveis a DLL side-loading
• Aplicar regras de YARA específicas para artefatos do AdaptixC2 (assinaturas já disponíveis publicamente em repositórios da Seqrite e ESET)

• Habilitar logs detalhados de PowerShell, WMI e Sysmon Event ID 7 (Image loaded) para detecção comportamental
• Treinar usuários de alto risco — diplomatas, pesquisadores e executivos — sobre engenharia social via spear-phishing temático
• Revisar políticas de execução de scripts em Rust e bloquear binários não assinados em diretórios temporários de usuários
• Implementar segmentação de rede para limitar movimento lateral caso um endpoint seja comprometido

Fonte: The Hacker News