Microsoft Azure sirvió gratis como servidor para hackers: el troyano AZUREVEIL filtra datos directamente a través de la nube de Microsoft.
Un servicio legítimo se usó como fachada para una operación difícil de detectar en el tráfico habitual.
El ciberespionaje con mayor frecuencia se disfraza de documentos de trabajo comunes y de servicios en la nube habituales. Los especialistas de Seqrite detectaron una nueva campaña dirigida denominada Operation Dragon Weave, en la que los atacantes apuntaron a residentes y funcionarios de Chequia y de Taiwán, utilizando documentos falsos e infraestructura de Microsoft Azure para el control encubierto de equipos infectados.
Las huellas de la operación se detectaron por primera vez en marzo de 2026. El análisis mostró que el ataque comienza con un archivo ZIP que contiene archivos disfrazados como notificaciones oficiales. Para los usuarios de Taiwán, los atacantes prepararon documentos en chino tradicional, y para Chequia usaron una notificación falsa de la Administración Checa de Seguridad Social con una fecha concreta de recepción y los datos personales de un beneficiario ficticio.
Al abrir el adjunto se inicia una cadena de infección de múltiples etapas. En un caso se usa un acceso directo de Windows con doble extensión que se hace pasar por un archivo PDF. En otro, a la víctima se le pide que abra un ejecutable que parece un documento oficial. Ambas variantes conducen a la ejecución de código malicioso mediante un mecanismo de carga de bibliotecas DLL.
Un papel clave lo desempeña un cargador escrito en Rust, llamado RUSTCLOAK. El programa comprueba si el equipo se encuentra en una sandbox o en un entorno de análisis. Si detecta alguno de los signos conocidos de infraestructura de investigación, la ejecución se detiene. Este enfoque ayuda a evitar los sistemas automáticos de detección.
Luego el cargador descifra el módulo principal AZUREVEIL. Para su protección se emplean varios niveles de cifrado, incluido un RC4 modificado y el algoritmo chino SM4. El componente final funciona únicamente en memoria y prácticamente no deja rastros en el disco.
La característica más inusual de la campaña fue el uso de Azure Blob Storage como canal de control. En lugar de un servidor tradicional, los atacantes intercambian datos a través del almacenamiento en la nube de Microsoft.
El equipo infectado descarga periódicamente señales cifradas sobre su actividad, recibe comandos del mismo contenedor y envía los resultados de la ejecución de vuelta. Gracias a que el tráfico parece una interacción normal con un servicio en la nube popular, detectar esa actividad es mucho más difícil.
AZUREVEIL admite 36 comandos diferentes. El malware puede ejecutar comandos de shell, transferir archivos, recopilar información del sistema, gestionar procesos, crear conexiones proxy y ejecutar código adicional directamente en la memoria. Este conjunto de capacidades permite controlar por completo el dispositivo infectado y robar datos de forma sigilosa.
Durante el análisis, los especialistas encontraron indicios de un error del desarrollador. En el código quedó guardada una ruta a un equipo de trabajo que contenía el nombre de usuario "dell2" y datos sobre las bibliotecas utilizadas. Sin embargo, esos datos resultaron insuficientes para identificar con precisión al grupo.
Los autores del informe consideran que Operation Dragon Weave está relacionada con un grupo de hackers chino. A esa hipótesis apuntan los métodos de trabajo, las herramientas y la selección de objetivos. No obstante, por ahora no se han encontrado pruebas directas que vinculen la operación con alguna agrupación conocida.