O grupo de espionagem chinês Dragon Weave comprometeu organizações governamentais, acadêmicas e de tecnologia na República Tcheca e em Taiwan usando malware em Rust que se comunica via Azure Blob Storage. A técnica de dead drop na nuvem da Microsoft dificulta a detecção ao misturar tráfego malicioso com o de milhares de empresas, segundo relatório da Seqrite Labs.
Cadeia de infecção em dois estágios
O ataque começa com e-mails de spear-phishing contendo arquivos ZIP. A partir daí, dois caminhos conduzem à mesma carga final. No primeiro, a vítima abre um atalho LNK disfarçado de PDF, que executa um script PowerShell para extrair um executável de um arquivo DAT. No segundo, a vítima executa diretamente um dropper escrito em Rust contido no pacote.
Em ambos os casos, o malware executa DLL side-loading com o UnityPlayer.dll legítimo, que carrega o RUSTCLOAK — um loader também em Rust, projetado para evasão de análise. O RUSTCLOAK descriptografa e executa o AZUREVEIL, o agente final de C2 (command and control).
Dead drop via Azure Blob Storage
O AZUREVEIL abandona o modelo tradicional de pull-based C2 e adota uma abordagem de dead drop: o sistema infectado e o atacante nunca se comunicam diretamente. Ambos leem e escrevem em um contêiner do Azure Blob Storage, com o malware suportando 36 comandos diferentes, incluindo execução de shells, transferência de arquivos, enumeração de processos e execução na memória de Beacon Object Files (BOFs).
| Componente | Linguagem | Função |
|---|---|---|
| Dropper ( RuntimeBroker_update.exe) | Rust | Execução inicial e side-loading |
| RUSTCLOAK | Rust | Loader com anti-análise |
| AZUREVEIL | AdaptixC2 | Agente C2 via Azure Blob |
O uso de infraestrutura cloud legítima para C2 é uma tendência crescente entre grupos APT alinhados à China, seguindo a estratégia de outros grupos como o SideCopy, que também explorou ferramentas ofuscadas para espionagem governamental em 2026.
Rust como arma de evasão
A escolha de Rust como linguagem base para o RUSTCLOAK reflete uma tendência no desenvolvimento de malware voltado para evasão. Binários Rust são mais difíceis de analisar com ferramentas tradicionais de reversing, possuem proteções de memória nativas e geram código menos previsível do que equivalentes em C/C++.
O malware inclui verificações de anti-análise para detectar ambientes de sandbox, executando comandos de enumeração de processos e portas antes de prosseguir com a operação.
Outros grupos chineses em ação
O relatório da Seqrite Labs documenta atividade de pelo menos cinco grupos distintos alinhados à China entre outubro de 2025 e março de 2026. Além do Dragon Weave, o TencShell — um implant baseado em Go derivado do framework rshell — foi descoberto pela Cato Networks comprometendo a filial indiana de uma empresa global de manufatura. O cluster SteppeDriver, identificado pela ESET, tem como alvos França, Mongólia e América do Sul.
Como observado em relatórios sobre operações de guerra cibernética patrocinadas por Estados, a convergência entre espionagem, sabotagem e coleta de dados estratégicos continua a escalar globalmente.
Como detectar e mitigar
- Monitore Azure Blob Storage: anomalias de leitura e escrita em contêineres que não correspondem a padrões normais da organização podem indicar uso como dead drop de C2.
- Bloqueio de DLL side-loading: restrinja quais binários legítimos podem carregar DLLs, especialmente UnityPlayer.dll e outras bibliotecas de jogos em ambientes corporativos.
- Filtragem de arquivos LNK: bloqueie atalhos Windows (.lnk) em anexos de e-mail, já que são o vetor inicial da cadeia de infecção.
- Análise de comportamento Rust: ferramentas de EDR modernas precisam ser atualizadas para detectar anomalias características de binários Rust — como padrões de alocação de memória e ausência de APIs Windows comuns.