APT41-linked „Silver Dragon” atakuje administrację: Cobalt Strike, tunelowanie DNS i C2 przez Google Drive

Wprowadzenie do problemu / definicja luki

W marcu 2026 r. Check Point opisał aktywność klastra APT nazwanego Silver Dragon, który od co najmniej połowy 2024 r. prowadzi kampanie ukierunkowane głównie na instytucje rządowe w Europie i Azji Południowo-Wschodniej. Wyróżnikiem działań jest łączenie kilku łańcuchów infekcji z utrzymaniem dostępu poprzez nadużycie legalnych komponentów Windows, a także „ukrywanie” komunikacji C2 w zaufanych usługach (m.in. Google Drive).

W skrócie

• Silver Dragon przypisywany jest z wysokim prawdopodobieństwem do chińskiego ekosystemu APT41 (na podstawie zbieżności technik i artefaktów operacyjnych).
• Wejście: eksploatacja publicznie wystawionych serwerów + phishing z załącznikami.
• Utrzymanie i C2: Cobalt Strike + tunelowanie DNS oraz własny backdoor GearDoor komunikujący się przez Google Drive.
• Narzędzia post-exploitation: m.in. SliverScreen (zrzuty ekranu) i SSHcmd (zdalne komendy/transfer przez SSH).

Kontekst / historia / powiązania

Silver Dragon jest opisywany jako „cluster” (zestaw kampanii i TTP), a nie koniecznie zupełnie nowa, niezależna grupa. Check Point wskazuje na korelację operacyjną z APT41; The Hacker News doprecyzowuje, iż powiązania wynikają m.in. z podobieństw w skryptach instalacyjnych post-exploitation oraz zbieżności mechanizmów kryptograficznych/loaderów obserwowanych wcześniej w aktywności China-nexus.

Dla przypomnienia: APT41 (MITRE: G0096) to aktor oceniany jako państwowo sponsorowany (szpiegostwo) z historią działań równolegle „dla zysku” i szerokim spektrum celów od co najmniej 2012 r.

Analiza techniczna / szczegóły kampanii

1) Trzy łańcuchy infekcji (delivery → beacon → utrwalenie)

Check Point wyróżnia trzy ścieżki dostarczania i uruchomienia Cobalt Strike:

1. AppDomain hijacking (scenariusze .NET, nadużycie mechanizmów ładowania w domenie aplikacji)
2. Service DLL / nadużycie usług Windows (ładunek osadzony „pod” legalną usługą)
3. Phishing z załącznikiem LNK (skrót Windows uruchamiający łańcuch przez cmd.exe/PowerShell).

W dwóch pierwszych łańcuchach (AppDomain hijacking i Service DLL) wspólnym mianownikiem są archiwa RAR + skrypty batch oraz fakt, iż bywają one wdrażane po kompromitacji podatnych serwerów wystawionych do Internetu (post-exploitation/pivot).

2) Loadery i uruchamianie w pamięci

W opisie pojawiają się m.in.:

• MonikerLoader: .NET-owy loader służący do deszyfrowania i uruchamiania kolejnego etapu w pamięci.
• BamboLoader: loader shellcode (opisany jako mocno obfuskowany), rejestrowany jako usługa Windows; deszyfruje/dekompresuje shellcode, a następnie wstrzykuje go do legalnego procesu (np. taskhost.exe).

3) Phishing LNK + DLL sideloading

W kampanii phishingowej wymierzonej m.in. w Uzbekistan wykorzystywano załączniki LNK, które inicjowały wykonanie PowerShell. Dalej pojawiał się zestaw plików: dokument-przynęta, legalny program podatny na DLL sideloading (w tekście: GameHook.exe), złośliwa biblioteka DLL (wariant BamboLoader) i zaszyfrowany payload Cobalt Strike.

4) C2 przez tunelowanie DNS i Google Drive

W sieci Silver Dragon często wykorzystuje DNS tunneling jako kanał C2, co ma utrudniać wykrywanie na poziomie ruchu sieciowego.

Dodatkowo wyróżnia się backdoor GearDoor, który używa Google Drive jako kanału C2 (w praktyce: komunikacja i zadania „udają” legalną aktywność w chmurze). W opisie The Hacker News pojawia się choćby konwencja rozszerzeń plików używanych do sygnalizowania typu zadania (np. „heartbeat” i tasking), a także upload wyników zadań z hosta do Drive.

5) Narzędzia wspierające operację (szpiegostwo, utrzymanie dostępu)

• SliverScreen: okresowe zrzuty ekranu (monitoring aktywności użytkownika).
• SSHcmd: wrapper/CLI do zdalnych komend i transferu przez SSH.

Praktyczne konsekwencje / ryzyko

1. Trudniejsze wykrywanie: nadużycie legalnych usług Windows i „zaufanych” usług chmurowych (Google Drive) przesuwa sygnały ataku w stronę zachowań, które w wielu organizacjach nie są ściśle kontrolowane.
2. Długotrwała obecność (persistence): priorytetem jest utrzymanie dostępu i zbieranie informacji, a nie szybka destrukcja — typowe dla szpiegostwa.
3. Ryzyko rozlania w sieci po kompromitacji serwerów brzegowych: jeżeli wejście następuje przez publicznie wystawione systemy, atakujący może gwałtownie przejść do ruchu bocznego i wdrożenia beaconów.

Rekomendacje operacyjne / co zrobić teraz

Poniżej zestaw działań „praktycznych” pod ten konkretny profil TTP (Windows services + DNS tunneling + Drive C2 + Cobalt Strike):

1) Ogranicz powierzchnię wejścia (internet-facing)

• Zrób przegląd usług wystawionych do Internetu i priorytetowo łatkuj systemy brzegowe (VPN, web, middleware, portale). Źródła wskazują, iż kompromitacja serwerów publicznych bywa etapem poprzedzającym wdrożenie łańcuchów RAR/batch.
• Włącz wymuszenia MFA i ogranicz dostęp administracyjny (VPN/admin panels) do zaufanych adresów / urządzeń.

2) Zabezpiecz pocztę i endpointy pod LNK/DLL sideloading

• Zablokuj lub ściśle kontroluj załączniki LNK w poczcie oraz pobieranie/uruchamianie skrótów z Internetu (ASR rules, Mark-of-the-Web).
• Monitoruj nietypowe uruchomienia cmd.exe → PowerShell z kontekstu aplikacji użytkownika oraz anomalie DLL loading przy procesach typu „legit-exe obok podejrzanej DLL”.

3) Polowanie na persistence w usługach Windows

• Ustal bazową listę usług i ich binarek; alertuj na:
  • tworzenie nowych usług,
  • modyfikacje istniejących,
  • nietypowe ścieżki binarek usług (np. profile użytkowników, katalogi tymczasowe),
  • zatrzymywanie/odtwarzanie usług w krótkich oknach czasowych (pattern utrwalania opisany przez Check Point).

4) Detekcja tunelowania DNS

• Wdroż analizę: wysokie entropie subdomen, nietypowe długości nazw, wolumen NXDOMAIN, stały beaconing. Źródła wiążą to z C2 w tej kampanii.

5) Kontrola ruchu do usług chmurowych (Google Drive jako C2)

• Jeśli organizacja używa Google Workspace: włącz logowanie zdarzeń i korelację (nietypowe tokeny/OAuth, nowe aplikacje, nietypowe uploady/downloady).
• Jeśli nie używa: rozważ egress allowlisting i blokadę/ograniczenie Drive na hostach serwerowych oraz segmentach „high trust”. GearDoor wprost opisano jako backdoor z C2 przez Drive.

6) Gotowe „hunting cues” (bez wchodzenia w IOC-dump)

• Nietypowe archiwa RAR + skrypty .bat w środowisku serwerowym.
• Procesy typu taskhost.exe lub inne legalne hosty z anomaliami wątku/iniekcji (EDR).
• Obecność Cobalt Strike (wzorce beaconingu, artefakty pamięci, nietypowe named pipes) — w kampanii wskazany jako element utrzymania dostępu.

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

• „Cloud C2” vs klasyczne serwery C2: Google Drive jako kanał sterowania jest szczególnie problematyczny, bo miesza się z legalnym ruchem i politykami „dozwolone, bo biznes”. To odróżnia kampanię od prostszych infrastruktur VPS/domen jednorazowych.
• Nacisk na stealth i persistence: zamiast agresywnych działań (ransomware), Silver Dragon kładzie nacisk na utrzymanie długiego dostępu (hijack usług Windows, DNS tunneling), co jest bardziej spójne z szpiegostwem i z profilem „umbrella” APT41.

Podsumowanie / najważniejsze wnioski

Silver Dragon to przykład nowoczesnej kampanii szpiegowskiej, w której nie pojedynczy malware, a kombinacja technik robi różnicę: wejście przez serwery publiczne i phishing, szybkie osadzenie Cobalt Strike, utrwalenie przez legalne usługi Windows, C2 przez DNS tunneling oraz „maskowanie” komunikacji w Google Drive (GearDoor). Dla obrony oznacza to konieczność połączenia higieny perymetru (patching), twardych polityk endpointowych (LNK/DLL), oraz obserwowalności ruchu DNS i aktywności chmurowej.

Źródła / bibliografia

• The Hacker News — opis kampanii i łańcuchów infekcji (04.03.2026). (The Hacker News)
• Check Point Research — raport techniczny „Silver Dragon Targets Organizations in Southeast Asia and Europe” (03.03.2026). (Check Point Research)
• Check Point Blog — podsumowanie i wnioski operacyjne (03.03.2026). (Check Point Blog)
• Dark Reading — kontekst i streszczenie zagrożenia (04.03.2026). (Dark Reading)
• MITRE ATT&CK — profil APT41 (G0096). (MITRE ATT&CK)