Čínski hackeri zaútočili na Česko. Ich cieľom boli úrady, univerzity aj firmy, malvér ukryli v cloude Microsoftu
Bezpečnostní analytici varujú pred kampaňou čínskych hackerov Dragon Weave, ktorá zasiahla susednú Českú republiku. Dôvodom mali byť dobré vzťahy s Taiwanom.
Kybernetické útoky už dávno neútočia len na veľké korporácie alebo štátne úrady. Moderní útočníci sa čoraz častejšie spoliehajú na psychológiu a dôveru používateľov. Stačí jeden e-mail, jedno kliknutie a škodlivý kód sa dostane do systému. Bezpečnostná spoločnosť Seqrite teraz upozornila na novú operáciu s názvom Dragon Weave, ktorú s miernou mierou istoty pripísala čínskym aktérom.
Kampaň zasiahla organizácie v Českej republike a na Taiwane, pričom útočníci sa zamerali najmä na štátnu správu, výskumné inštitúcie, univerzity, technologické firmy a finančný sektor.
Podľa expertov nešlo o masový útok. Útočníci si vyberali konkrétne ciele a následne pripravili podvodné správy presne pre nich.
Útok odštartoval nenápadným e-mailom s prílohou
Celý útok začal pomerne nenápadne, obeť dostala e-mail s prílohou vo formáte ZIP. Správa sa tvárila ako bežná pracovná komunikácia, niekedy išlo o pozvánku na obchodné stretnutie, inokedy o údajné oznámenie týkajúce sa návštevy Českej správy sociálneho zabezpečenia. Práve dôveryhodný vzhľad predstavoval jednu z najnebezpečnejších častí celej operácie.
Po otvorení prílohy sa používateľovi zobrazil dokument PDF s legitímne pôsobiacim obsahom. V prípade falošných správ od sociálnej poisťovne dokument obsahoval napríklad pokyny k plánovanému stretnutiu.
Neprehliadni
Na prvý pohľad všetko vyzeralo úplne normálne, no v pozadí však už prebiehala druhá časť útoku. Výskumníci upozornili, že Dragon Weave využíval neobvykle sofistikovaný systém doručenia škodlivého kódu, píše Dark Reading. V prílohe sa nachádzal špeciálny súbor typu LNK. Ak naň používateľ klikol, spustil skript PowerShell, ktorý postupne rozbalil a aktivoval všetky potrebné komponenty malvéru. To však nebola jediná cesta.

Aj samotný spustiteľný súbor obsahoval zabudovaný mechanizmus, ktorý dokázal nainštalovať škodlivý softvér bez pomoci ďalších súborov. Podľa expertov útočníci pripravili dve nezávislé metódy infekcie. Ak jedna zlyhala, druhá mohla útok dokončiť.
Práve preto bezpečnostní experti označili Dragon Weave za mimoriadne premyslenú operáciu.
Po úspešnej infiltrácii sa aktivoval nástroj s názvom Rustcloak. Jeho hlavnou úlohou sa stalo načítanie ďalšej fázy útoku. Okrem toho však obsahoval aj ochranné mechanizmy proti odhaleniu.
Rustcloak kontroloval názov počítača a porovnával ho so zoznamom viac ako stovky zariadení, ktoré bezpečnostní analytici a výskumníci často využívajú pri analýze škodlivého softvéru. Ak našiel zhodu, okamžite ukončil svoju činnosť.
Takýto postup výrazne sťažil prácu bezpečnostných tímov, pretože malvér sa v testovacom prostredí často vôbec neaktivoval.
Azureveil využil cloud Microsoftu
Najzaujímavejšou súčasťou operácie sa stal malvér Azureveil. Namiesto tradičnej komunikácie medzi infikovaným počítačom a serverom útočníka využil cloudovú službu Microsoft Azure Blob Storage.
Práve tento detail pomohol malvéru ukryť svoju komunikáciu medzi množstvo legitímnej prevádzky.
„Namiesto tradičného modelu komunikácie využíva Azureveil takzvaný dead-drop prístup. Útočník a infikovaný systém spolu nikdy nekomunikujú priamo,“ vysvetlili výskumníci zo spoločnosti Seqrite.
Fungovalo pomerne jednoducho, infikovaný počítač pravidelne odoslal do cloudového úložiska malú šifrovanú správu, ktorá informovala útočníka o svojej aktivite. Následne útočník vložil do rovnakého úložiska nové príkazy.
Azureveil ich stiahol, dešifroval, vykonal a výsledky následne odoslal späť. Celý proces prebiehal bez priameho spojenia medzi obeťou a útočníkom.

Prečo sa terčom stalo práve Česko
Taiwan patrí medzi dlhodobé ciele čínskych kybernetických skupín. Oveľa väčšiu pozornosť však vzbudilo zaradenie Českej republiky medzi hlavné ciele kampane.
Bezpečnostný analytik Alexis Rapin zo spoločnosti ESET ponúkol možné vysvetlenie.
„Česká republika je pravdepodobne európskou krajinou s najbližšími vzťahmi k Taiwanu, čo z nej robí prirodzený cieľ čínskych aktérov,“ uviedol.
Podľa jeho pozorovaní začali čínske skupiny intenzívnejšie útočiť na české organizácie približne od roku 2023. Najčastejšie sa zamerali na štátne inštitúcie, univerzity a neziskové organizácie. Politické napätie medzi Prahou a Pekingom sa v posledných rokoch zvýšilo najmä kvôli podpore Taiwanu zo strany Česka a odlišným postojom k ruskej invázii na Ukrajinu.
Ďalšia analýza ukázala, že útočníci pripravili viacvrstvový infekčný reťazec, v ktorom sa nachádzalo viacero typov súborov. V dátovom priečinku sa objavili šifrované kontajnery s payloadom (1.dat a Com.dat), skripty Profile.ps1 a empty.vbs, ako aj DLL knižnica UnityPlayer.dll, ktorú útočníci použili na DLL sideloading. Každý z týchto súborov zohrával inú úlohu v procese infekcie a spolu vytvorili prepojený systém, ktorý sa aktivoval postupne po spustení.
Po rozbalení archívu sa spustil aj exe súbor _計畫申請審查結果通知單.exe, ktorý patril priamo do fázy sociálneho inžinierstva. Tento súbor v sebe ukrýval ďalší dokument, ktorý sa zobrazil obeti ako legitímne oznámenie. V pozadí však slúžil ako hlavná návnada, ktorá mala odviesť pozornosť od prebiehajúcej infekcie.

Zaujímavý detail predstavoval samotný názov PDF súboru 000b67d70f3876965bb09fd37164b7ccrezervaci.pdf. Útočníci spojili hashovo pôsobiaci reťazec s českým slovom „rezervaci“, čím vytvorili dojem technického aj lokálne dôveryhodného súboru zároveň. Dokument sa tváril ako oficiálne oznámenie od Českej správy sociálneho zabezpečenia (ČSSZ) a pôsobil ako reálna pozvánka na úradné stretnutie.
Obsah dokumentu zobrazil konkrétne údaje o schôdzke, vrátane mena osoby Zuzana Košková a dátumu 16. marca 2026. Takéto detaily výrazne zvýšili dôveryhodnosť celej návnady, pretože pôsobili ako reálne údaje z úradnej komunikácie.
Dôveryhodnosť dopĺňali tieto detaily
Na konci dokumentu sa nachádzali aj inštrukcie pre návštevu úradu. Používateľ dostal návod, ako si vyzdvihnúť poradové číslo pomocou prideleného identifikačného kódu a ako čakať na svoje poradie v čakárni. Tento postup presne kopíroval bežný systém fungovania štátnych úradov.
Súčasťou PDF bol aj odkaz na oficiálnu stránku Českej správy sociálneho zabezpečenia (cssz.cz), ktorý mal pôsobiť ako ďalší prvok autenticity. V skutočnosti však celý dokument vznikol pravdepodobne jednoduchým uložením alebo vytlačením webovej stránky do formátu PDF, čo útočníkom umožnilo rýchlo vytvoriť veľmi presvedčivú návnadu bez väčšej námahy.
Bezpečnostní analytici radia, že rozpoznanie phishingového mailu útok zastaví
Dragon Weave opäť ukázal, že aj najsofistikovanejší malware potrebuje na začiatku pomerne jednoduchú vec, používateľa, ktorý otvorí podvodnú správu.
Bezpečnostní experti preto odporúčajú pravidelné školenia zamestnancov, kvalitné filtrovanie e-mailov, monitorovanie podozrivých procesov a využívanie moderných bezpečnostných nástrojov typu EDR alebo XDR.
Útok zároveň pripomenul, že dnešní útočníci sa nespoliehajú len na technické zraniteľnosti. Čoraz častejšie využijú dôveryhodne pôsobiace dokumenty, známe inštitúcie a psychologické triky. Práve preto zostáva opatrnosť pri práci s e-mailovými prílohami jednou z najdôležitejších obranných línií, a to bez ohľadu na veľkosť organizácie.