Une nouvelle campagne de cyberespionnage, baptisée Opération Dragon Weave, a été observée ciblant des responsables et des citoyens en République tchèque et à Taïwan afin de diffuser un agent AdaptixC2 .

D’après Seqrite Labs, la campagne cible les secteurs public, de la recherche, de l’enseignement supérieur, des technologies et des services financiers. Elle consiste à diffuser des courriels d’hameçonnage ciblés contenant des pièces jointes ZIP afin de déclencher une chaîne d’infection utilisant un chargeur Rust pour déployer la charge utile finale permettant l’exfiltration de données et le contrôle à distance.

« Une fois extraite, l’archive contient de multiples fichiers qui semblent légitimes mais qui font en réalité partie d’une chaîne d’infection structurée conçue pour exécuter des charges utiles malveillantes en arrière-plan », a déclaré la chercheuse en sécurité Priya Patel .

La chaîne d’attaque utilise deux voies différentes pour lancer le logiciel malveillant de la phase finale. Une première séquence d’infection débute lorsque le destinataire de l’archive ZIP ouvre un raccourci Windows (LNK) malveillant se faisant passer pour un document PDF. Ceci déclenche l’exécution d’un script PowerShell chargé d’extraire un fichier exécutable (« RuntimeBroker_update.exe ») d’un fichier DAT intermédiaire et de l’exécuter.

Dans la seconde chaîne d’attaque, la victime exécute directement un fichier binaire depuis la même archive. Ce fichier binaire, fonctionnant comme un dropper Rust autonome, lance « RuntimeBroker_update.exe ». Quel que soit le chemin choisi, l’exécutable charge une DLL malveillante (« UnityPlayer.dll ») par chargement latéral de DLL , ce qui entraîne le déploiement d’un chargeur Rust nommé RUSTCLOAK.

Le chargeur déchiffre ensuite et exécute la charge utile principale, un agent AdaptixC2 nommé AZUREVEIL en raison de l’utilisation du stockage Blob Microsoft Azure pour la commande et le contrôle (C2). Ce chargeur est conçu pour effectuer des vérifications anti-analyse et ne se poursuit que si le logiciel malveillant détecte qu’il est exécuté dans un environnement isolé (sandbox).

« Le logiciel malveillant communique simplement avec Azure Blob Storage, le même service utilisé par des milliers d’entreprises légitimes dans le monde entier », a déclaré Seqrite Labs. « Au lieu d’utiliser un modèle C2 traditionnel basé sur l’extraction de données, AZUREVEIL adopte une approche de type “dépôt mort”. L’attaquant et le système infecté ne communiquent jamais directement. Ils utilisent le même conteneur de stockage Azure pour échanger des données. »

AZUREVEIL prend en charge 36 commandes qui lui permettent d’effectuer un large éventail d’actions post-compromission sur l’hôte, notamment les opérations sur les fichiers, les chargements et téléchargements de fichiers, l’exécution de commandes shell, l’énumération et la terminaison des processus, la redirection de ports, le contrôle du proxy SOCKS, la gestion du serveur C2 et l’exécution en mémoire des fichiers objets Beacon (BOF).

Ces fonctionnalités confèrent à l’attaquant un contrôle total sur le terminal compromis. Bien que l’activité ait été attribuée à un acteur ou un groupe de cybercriminels connu, elle est considérée comme étant liée à la Chine.

Cette révélation intervient alors que Cato Networks a déclaré avoir détecté et bloqué une tentative d’intrusion contre la branche indienne d’un client manufacturier mondial non identifié, visant à déployer TencShell, un implant basé sur Go et non documenté auparavant, dérivé du framework C2 open-source rshell .

L’attaque serait l’œuvre d’acteurs malveillants liés à la Chine, compte tenu de l’utilisation antérieure de rshell, de l’usurpation d’identité d’API de type Tencent et des caractéristiques de l’infrastructure. Le vecteur d’accès initial utilisé lors de l’intrusion reste inconnu.

« Si elle avait réussi, TencShell aurait pu donner à l’attaquant l’exécution de commandes à distance, l’exécution de charges utiles en mémoire, le proxy, le pivotement, le profilage du système et un moyen de déployer des outils supplémentaires », ont déclaré les chercheurs Idan Tarab, le Dr Guy Waizel, Zohar Buber et Shani Kurtzberg.

Dans un rapport publié la semaine dernière, ESET a déclaré que les acteurs malveillants liés à la Chine sont restés « très actifs » à l’échelle mondiale d’octobre 2025 à mars 2026. Cela inclut un groupe non signalé baptisé SteppeDriver, découvert pour la première fois en 2024 et qui a depuis ciblé des entités en France, en Mongolie et en Amérique du Sud à l’aide d’outils tels que ShadowPad , COOLCLIENT , CurlyDoor, RudeGull et MKTDownloader.

Le fournisseur slovaque de cybersécurité a également identifié un nouvel outil, PhiliKit, lié à UNC5221. Cet outil agit comme une porte dérobée passive permettant d’exécuter des commandes shell, des scripts Python et des scripts Perl. Il est probable que PhiliKit soit déployé dans le cadre de la suite de logiciels malveillants SPAWN, utilisée par le passé par le groupe de pirates informatiques chinois.

Un troisième groupe de menaces affilié à la Chine est NegativeGlimmer, qui partagerait un certain niveau de chevauchement avec TGR-STA-1030 , que l’unité 42 de Palo Alto Networks a documenté plus tôt cette année comme ayant pénétré au moins 70 organisations gouvernementales et d’infrastructures critiques dans 37 pays au cours de l’année écoulée.

Dans au moins un cas observé en décembre 2025, l’acteur de la menace a été trouvé en train de cibler une organisation gouvernementale au Panama, en utilisant une chaîne de chargement latéral de DLL initiée via un spear-phishing pour livrer un téléchargeur qui déploie ensuite AdaptixC2 et affiche simultanément un document leurre à la victime.

Les itérations suivantes, en janvier 2026, ont remplacé AdaptixC2 par Cobalt Strike, des infections ayant également été signalées au Cambodge et en Corée du Sud.

« Ce ciblage en Corée du Sud s’inscrit dans l’intérêt constant de Pékin pour les technologies stratégiques prioritaires dans le cadre de la politique de développement industriel Made in China 2025 », a déclaré Jean-Ian Boutin d’ESET.