Una nueva campaña de ciberespionaje con nombre en clave Operación Tejido Dragón Se ha observado que se dirige a funcionarios y ciudadanos de la República Checa y Taiwán para entregar un agente AdaptixC2.
Según Seqrite Labs, los objetivos de la campaña incluyen los sectores gubernamental, de investigación, académico, tecnológico y de servicios financieros. La actividad implica la distribución de correos electrónicos de phishing que contienen archivos adjuntos ZIP para desencadenar una cadena de infección que utiliza un cargador Rust para eliminar la carga útil final para la filtración de datos y el control remoto.
«Cuando se extrae, el archivo contiene múltiples archivos que parecen legítimos pero que en realidad son parte de una cadena de infección estructurada diseñada para ejecutar cargas maliciosas en segundo plano», dijo la investigadora de seguridad Priya Patel.
La cadena de ataque utiliza dos vías diferentes para lanzar el malware de etapa final. Una secuencia de infección comienza cuando el destinatario del archivo ZIP abre un archivo malicioso de acceso directo de Windows (LNK) que se hace pasar por un documento PDF. Esto lleva a la ejecución de un script de PowerShell que es responsable de extraer un ejecutable («RuntimeBroker_update.exe») de un archivo DAT intermedio y ejecutarlo.
En la segunda cadena de ataque, la víctima lanza directamente un binario desde el mismo archivo. El binario funciona como un cuentagotas autónomo basado en Rust para iniciar «RuntimeBroker_update.exe». Independientemente de la ruta elegida, el ejecutable carga una DLL maliciosa («UnityPlayer.dll») mediante la carga lateral de la DLL, lo que da como resultado la implementación de un cargador basado en Rust llamado RUSTCLOAK.
Luego, el cargador descifra y ejecuta la carga útil principal, un agente AdaptixC2 con nombre en código AZUREVEIL debido al uso de Microsoft Azure Blob Storage para comando y control (C2). El cargador está diseñado para realizar comprobaciones antianálisis y proceder solo si el malware determina que se está ejecutando en un entorno aislado.
«El malware simplemente se comunica con Azure Blob Storage, el mismo servicio utilizado por miles de empresas legítimas en todo el mundo», dijo Seqrite Labs. «En lugar de utilizar un modelo C2 tradicional basado en extracción, AZUREVEIL sigue un enfoque de entrega directa. El atacante y el sistema infectado nunca se comunican directamente. En cambio, ambas partes utilizan el mismo contenedor de almacenamiento de Azure para intercambiar datos».
AZUREVEIL admite 36 comandos que le permiten realizar una amplia gama de acciones posteriores al compromiso en el host, incluidas operaciones de archivos, cargas y descargas de archivos, ejecución de comandos de shell, enumeración y terminación de procesos, reenvío de puertos, control de proxy SOCKS, administración de servidores C2 y ejecución en memoria de archivos de objetos Beacon (BOF).
Estas capacidades otorgan al atacante un control total sobre el punto final comprometido. Aunque la actividad se ha atribuido a un actor o grupo de amenazas conocido, se considera que está alineada con China.
La divulgación se produce cuando Cato Networks dijo que detectó y bloqueó un intento de intrusión contra la sucursal india de un cliente de fabricación global anónimo para entregar TencShell, un implante basado en Go previamente no documentado derivado del marco de código abierto rshell C2.
Se cree que el ataque es obra de actores de amenazas del nexo con China basados en el uso histórico de rshell, la suplantación de API con temática de Tencent y patrones de infraestructura. Actualmente se desconoce el vector de acceso inicial utilizado en la intrusión.
«Si tiene éxito, TencShell podría haberle dado al atacante ejecución remota de comandos, ejecución de carga útil en memoria, proxy, pivotación, creación de perfiles del sistema y una ruta para implementar herramientas adicionales», dijeron los investigadores Idan Tarab, Dr. Guy Waizel, Zohar Buber y Shani Kurtzberg.
En un informe publicado la semana pasada, ESET dijo que los actores de amenazas alineados con China se han mantenido «altamente activos» a nivel mundial desde octubre de 2025 hasta marzo de 2026. Esto incluye un clúster no reportado denominado SteppeDriver que se descubrió por primera vez en 2024 y desde entonces se ha dirigido a entidades en Francia, Mongolia y Sudamérica utilizando herramientas como ShadowPad, COOLCLIENT, CurlyDoor, RudeGull y MKTDownloader.
El proveedor eslovaco de ciberseguridad también identificó un nuevo conjunto de herramientas vinculado a UNC5221 denominado PhiliKit que actúa como una puerta trasera pasiva para ejecutar comandos de shell, scripts de Python y scripts de Perl. Se sospecha que PhiliKit se implementa como parte del paquete de malware SPAWN utilizado por el grupo de hackers chino en el pasado.
Un tercer grupo de amenazas afiliado a China es NegativeGlimmer, que se cree que comparte cierto nivel de superposición con TGR-STA-1030, que la Unidad 42 de Palo Alto Networks documentó a principios de este año por haber violado al menos 70 organizaciones gubernamentales y de infraestructura crítica en 37 países durante el año pasado.
En al menos un caso observado en diciembre de 2025, se descubrió que el actor de amenazas apuntaba a una organización gubernamental en Panamá, utilizando una cadena de carga lateral de DLL iniciada a través de phishing para entregar un descargador que luego implementa AdaptixC2 y simultáneamente muestra un documento señuelo a la víctima.
Las iteraciones posteriores en enero de 2026 cambiaron AdaptixC2 a favor de Cobalt Strike, y también se informaron infecciones en Camboya y Corea del Sur.
«Este último objetivo en Corea del Sur se alinea con el interés duradero de Beijing en tecnologías estratégicas priorizadas bajo la política de desarrollo industrial Made in China 2025», dijo Jean-Ian Boutin de ESET.