親中駭客「龍織行動」鎖定台灣政府與學術機構，Rust 載入器配合 Azure 雲端服務滲透端點

資安研究機構 Seqrite Labs 近日揭露一起代號「龍織行動（Operation Dragon Weave）」的網路間諜攻擊活動，目標鎖定台灣與捷克共和國的政府、研究、學術、科技及金融服務機構。攻擊者被評估具有親中國背景，採用魚叉式網路釣魚（spear-phishing）為初始入口，搭配自製 Rust 語言載入器與濫用 Microsoft Azure 雲端儲存服務的後門程式，對受害端點實施完整遠端控制。

以 ZIP 壓縮檔為誘餌的感染鏈

根據 Seqrite Labs 研究員 Priya Patel 的技術分析，攻擊者向目標人員寄送內含 ZIP 壓縮附件的釣魚電子郵件。壓縮檔解開後，其中包含多個外觀看似合法的檔案，實際上構成一套精心設計的感染鏈，可在背景靜默執行惡意程式。

Patel 指出，解壓縮後，壓縮檔內含多個看似合法的檔案，實際上是一套結構化感染鏈的組成部分，設計目的是在背景執行惡意程式。

此次攻擊包含兩條不同感染路徑。第一條路徑透過惡意 Windows 捷徑（LNK）檔案觸發，該檔案偽裝成 PDF 文件，誘騙受害者開啟後，觸發 PowerShell 腳本，從中間過渡的 DAT 檔案中提取並執行名為「RuntimeBroker_update.exe」的惡意執行檔。

第二條路徑則由受害者直接從壓縮檔中執行一個二進位程式，該程式本身即為一個自包含的 Rust 語言投放器（dropper），同樣用於啟動「RuntimeBroker_update.exe」。

無論經由哪條路徑，最終執行檔皆會透過 DLL 側載（DLL side-loading）技術載入惡意動態連結函式庫「UnityPlayer.dll」，進而部署名為 RUSTCLOAK 的 Rust 語言載入器。

AZUREVEIL：藏匿於 Azure 合法流量中的後門

RUSTCLOAK 載入器執行後，將解密並啟動最終有效載荷：一個代號 AZUREVEIL 的 AdaptixC2 代理程式。此後門程式之所以得此命名，正是因為它以 Microsoft Azure Blob Storage 作為指揮與控制（C2）伺服器的通訊媒介。

值得注意的是，AZUREVEIL 採用「死點投遞（dead drop）」架構，攻擊者與受感染系統之間從不直接通訊，雙方改為透過同一個 Azure 儲存容器交換資料與指令。

Seqrite Labs 指出，這個惡意程式僅與 Azure Blob Storage 通訊，而這正是全球數千家合法企業每天都在使用的服務。AZUREVEIL 採用死點投遞方式運作，攻擊者與受感染系統永遠不會直接通訊，雙方改為使用同一個 Azure 儲存容器來交換資料。

此設計使得惡意流量得以混入大量合法雲端服務流量之中，大幅提升偵測難度。AZUREVEIL 共支援 36 項指令，可執行的後滲透行動包括：檔案操作、檔案上傳與下載、Shell 指令執行、程序列舉與終止、連接埠轉發（port forwarding）、SOCKS 代理控制、C2 伺服器管理，以及在記憶體中執行 Beacon Object Files（BOF）。上述能力賦予攻擊者對受害端點的完整控制權。

此外，RUSTCLOAK 載入器內建反分析（anti-analysis）檢查機制，刻意設計為僅在偵測到沙箱（sandbox）環境時才繼續執行，此一反向邏輯使自動化威脅分析系統取得無害的執行結果，真實惡意行為則保留在一般端點環境中觸發，以此規避資安研究人員的分析偵測。

親中威脅組織全球行動持續升溫

龍織行動並非孤立事件，而是近期親中網路威脅組織大規模行動的縮影之一。ESET 於上週發布的報告指出，親中威脅行為者在 2025 年 10 月至 2026 年 3 月間的全球攻擊活動「高度活躍」。

報告中識別出多個新興威脅組織，其中包括 2024 年首次被發現、代號 SteppeDriver 的未公開攻擊群組，該組織曾鎖定法國、蒙古及南美洲實體，使用的工具包括 ShadowPad、COOLCLIENT、CurlyDoor、RudeGull 及 MKTDownloader。

另一個受關注的威脅組織 NegativeGlimmer，被評估與 Palo Alto Networks Unit 42 早先記錄的 TGR-STA-1030 存在部分重疊，後者在過去一年間已入侵全球 37 個國家中至少 70 個政府及關鍵基礎設施組織。

台灣機構應立即強化防禦

面對龍織行動的持續威脅，台灣各機構應重點強化以下防禦措施：首先，針對魚叉式網路釣魚的員工安全意識訓練不可或缺，尤其應提高對偽裝成 PDF 的 LNK 捷徑檔案的警覺性。其次，端點偵測與回應（EDR）解決方案應具備識別異常 DLL 側載行為的能力。

此外，由於 AZUREVEIL 採用 Azure Blob Storage 進行 C2 通訊，傳統基於 IP 封鎖的防禦手段效果有限，機構應部署能夠分析雲端服務流量行為的監控機制，並對非預期的 Azure Blob Storage 存取請求保持高度警惕。

ESET 研究員 Jean-Ian Boutin 指出：「對南韓的鎖定目標與北京長期以來對中國製造 2025 工業發展政策所優先重視的戰略技術之持久興趣相吻合。」此一脈絡同樣適用於台灣，作為半導體與科技重鎮，台灣長期處於親中網路間諜行動的優先目標名單之上。

本文轉載自 thehackernews。