Operation Dragon Weave: L'APT cinese che

THREAT BRIEF

Due nazioni europee, obiettivi multipli: funzionari governativi e cittadini comuni. È il profilo di Operation Dragon Weave, la nuova campagna di cyber spionaggio attribuita a gruppi allineati alla Cina, identificata da Seqrite a giugno 2026. Il vettore d'attacco principale è l'email phishing mirato, con deliver di un agente C2 denominato AdaptixC2. La campagna mostra caratteristiche di alta sofisticazione: profiling degli obiettivi, documenti lure contestuali e persistenza a lungo termine. Il target geografico — Repubblica Ceca e Taiwan — suggerisce un interesse strategico verso istituzioni governative e settori critici di due nazioni con relazioni diplomatiche complesse con Pechino.

ANALISI DELLA MINACCIA

Vettore d'attacco e inizializzazione

L'attacco parte da email di phishing mirato (spear-phishing), non da campagne massivo. I documenti lure sono costruiti ad arte: apparentemente legittimi, contestualizzati sugli interessi dell'obiettivo. Il payload iniziale non è malware diretto, ma un dropper che installa l'agente AdaptixC2 — un C2 (Command & Control) relativamente nuovo nel panorama delle minacce APT.

TTPs e riferimenti MITRE ATT&CK

Le tecniche osservate si allineano a diverse categorie del framework MITRE ATT&CK:

• T1566.002 (Phishing: Spearphishing Attachment) — il vettore primario
• T1059 (Command and Scripting Interpreter) — esecuzione di script per l'installazione del C2
• T1573.001 (Encrypted Channel: Symmetric Cryptography) — comunicazione C2 cifrata
• T1083 (File and Directory Discovery) — ricognizione post-compromissione
• T1053 (Scheduled Task/Job) — persistenza tramite task pianificate
• T1027 (Obfuscated Files or Information) — tecniche di evading

L'agente AdaptixC2 permette al threat actor di mantenere persistenza, esfiltrare dati e muoversi lateralmente nella rete compromessa. La scelta di un C2 custom suggerisce volontà di evadere detection basata su signature note.

Indicatori di compromissione

Sebbene IOC specifici non siano stati rilasciati pubblicamente da Seqrite, i pattern da monitorare includono:

• Connessioni outbound verso IP/domini non usuali su porte non-standard
• Processi anomali correlati a documenti Office scaricati
• Task pianificate sconosciute avviate da account utente

IMPATTO E PORTATA

Geografie e settori a rischio

Operation Dragon Weave colpisce due aree geografiche distinte:

• Repubblica Ceca: obiettivi governativi, settore diplomatico
• Taiwan: cittadini e funzionari, potenzialmente settore tecnologico

Il doppio target suggerisce una strategia di raccolta intelligence su più fronti: relazioni EU-Cina e situazione geopolitica Taiwan.

Livelli di rischio per tipologia organizzativa

La campagna è ancora attiva. Il tempo di rilevamento medio (dwell time) per APT di questo livello può superare i 200 giorni.

ANALISI COMPARATIVA

Evoluzione rispetto a campaign precedenti

Dragon Weave non è un caso isolato. Gruppi APT allineati alla Cina hanno intensificato le operazioni contro obiettivi europei nel 2025-2026. Rispetto a campaign come APT27 (Iron Tiger) o APT41 (Winnti), osserviamo:

• Maggiore precisione: spear-phishing invece di phishing massivo
• C2 custom: abbandono di tool commerciali a favore di payload proprietari
• Target ibridi: governativi E гражданские obiettivi

Confronto con minacce parallele

L'evoluzione verso C2 custom come AdaptixC2 indica una tendenza: evitare detection basata su tool conosciuti. Questo rende la difesa più complessa.

RACCOMANDAZIONI

Immediata (0-48 ore)

1. Analisi header email: implementa controllo rigoroso su mittenti esterni che simulano domini governativi
2. Segmentazione rete: isola i segmenti che contengono dati sensibili o credenziali amministratore
3. Alert su IOC: verifica con il tuo team SOC la presenza di connessioni anomale verso IP sconosciuti

Breve termine (1-2 settimane)

1. Sandboxing avanzato: ogni allegato Office deve essere eseguito in ambiente isolato. Tool come quello di MailSniper offrono sandboxing con detonazione reale degli allegati
2. Analisi URL real-time: gli URL nei documenti lure possono puntare a landing page per il download del payload
3. Hardening endpoint: disabilita macro in Office, implementa Application Whitelisting

Medio termine (1-3 mesi)

1. Threat Intelligence: integra feed di IOC specifici per campaign cinese (APT, gruppi allineati)
2. Blue Team exercises: simulate attacchi C2 con strumenti come Caldera per testare la detection
3. Zero Trust email: implementa verifica continua delle sessioni email, non solo all'accesso

Indicatori da monitorare

• T1071.001 (Application Layer Protocol: Web Protocols) — traffico HTTP/HTTPS anomalo verso domini non reputati
• T1041 (Exfiltration Over C2 Channel) — volumi di dati outbound verso destinazioni nuove
• T1486 (Data Encrypted for Impact) — cifratura dati lato client come segnale di movimentazione

OUTLOOK

Nei prossimi 3-6 mesi è probabile che:

• Ampliamento geografico: altri stati EU potrebbero essere aggiunti al target, specialmente quelli con posizioni critiche verso Pechino
• Evoluzione C2: AdaptixC2 verrà probabilmente aggiornato con nuove funzionalità di evading
• Target settoriale: il settore tech e ricerca diventerà più appetibile come fonte di IP e dati sensibili

Le organizzazioni con esposizione verso questi target geografici devono considerare un upgrade delle capacità di detection email-based. La difesa non è più una questione di "se" ma di "quando".