针对中国电信业的复杂网络攻击：DRAGONCLONE行动曝光

Cyberpress网站6月10日报道，Seqrite Labs APT团队发布技术分析分析报告，披露了名为“DRAGONCLONE”的网络攻击行动，这是一场针对中国电信巨头中国移动旗下子公司中移铁通有限公司的高度复杂且技术先进的网络攻击。该行动通过精心设计的多阶段攻击链，结合了VELETRIX和VShell两种恶意软件，展示了威胁行为者在恶意软件开发和攻击策略上的深厚技术积累和创新能力。典型手法包括合法软件二进制滥用、DLL侧载、反沙盒反检测技术以及模块化跨平台载荷设计。诡异的是，Seqrite Labs的溯源分析分析显示，攻击活动的黑手竟然与东大有关联。

攻击载体与初始感染阶段

此次攻击的入口是一份伪装成中国移动铁通有限公司内部培训项目的恶意ZIP文件，命名为“attachment.zip”。该压缩包内包含多个可执行文件和DLL，且部分二进制文件带有合法数字签名，这显著提升了攻击载荷绕过安全检测的可能性。特别值得注意的是，攻击者滥用了万兴修复专家（WonderShare RepairIt）软件的合法二进制文件，通过DLL侧载技术实现了恶意DLL（即VELETRIX）隐秘加载。

这种利用合法软件的签名和功能作为伪装，反映了攻击者精心设计的逃避机制，有效减少了传统安全产品的拦截概率。

多阶段恶意软件技术解析

VELETRIX作为初始植入程序，采用了多种反沙盒技术，包括基于API的时间延迟机制（Sleep和Beep函数，底层调用NtDelayExecution）以及IPFuscation技术。IPFuscation将恶意shellcode编码为IPv4地址字符串，通过Windows API RtlIpv4StringToAddressA解码，随后以XOR运算完成进一步反混淆，并通过回调函数机制（EnumCalendarInfoA）隐蔽执行shellcode。这种创新的回调触发机制，极大增加了恶意代码执行的隐蔽性。

随后，VELETRIX在内存中加载VShell恶意软件。VShell是一款基于Golang开发的跨平台远控框架，虽然最初作为开源工具被开发，但已被多起中国背景APT组织广泛利用。该VShell植入体支持复杂的网络通信功能，允许攻击者远程控制受感染设备，具备高度灵活的后续渗透能力。

基础设施与威胁行为者归因

通过对恶意软件植入和命令控制（C2）基础设施的深入分析，研究人员发现了44个使用相同硬编码盐值“qwe123qwe”的VShell植入体，这些C2服务器分布于美国、香港等多个国家和地区。同时，相关基础设施中还发现了常见的后渗透工具Cobalt Strike和SuperShell，这些工具均与被称为UNC5174（Uteus）及Earth Lamia的组织活动高度重叠。

此外，研究人员还发现该基础设施利用了开源资产发现平台Asset Lighthouse System进行侦察和攻击面映射。该系统能识别暴露的IP、端口和域，助力攻击者精准锁定目标资源。联合对近期已知漏洞（如ScreenConnect CVE-2024-1709和SAP NetWeaver CVE-2025-31324）的利用情报，进一步确认了该行动的技术广度和复杂度。

攻击的战略意义与防御建议

“DRAGONCLONE”行动彰显了APT组织不断演进的攻击技术，包括合法软件二进制滥用、DLL侧载、反沙盒反检测技术以及模块化跨平台载荷设计。其目标明确锁定了中国电信行业这一国家关键基础设施，反映出对电信领域高价值资产的持续威胁。

此类攻击表明，传统基于签名和静态检测的安全防御手段面临严重挑战。防御建议应包括：

加强对DLL侧载和代码签名滥用的监测，结合行为分析提高检测准确性。

对网络通信实行严格的C2流量检测，利用威胁情报封堵已知恶意C2节点。

采用多层次反沙盒检测技术，结合动态分析延迟与回调行为，识别潜在的复杂隐蔽载荷。

持续关注并及时修补关联漏洞，防止攻击者利用已知漏洞快速入侵。

总结

DRAGONCLONE行动代表了现代APT组织运用多样化技术手段针对关键基础设施的典型案例。它结合了创新的恶意软件编码技术、高级载荷执行策略和精细化基础设施管理，体现了高度的攻击成熟度和持久的作战能力。对于中国电信行业及类似关键领域而言，必须强化安全防护策略，提升对高级威胁的感知和响应能力，才能有效抵御此类持续且复杂的网络攻击。

参考资源

1、https://cyberpress.org/chinese-telecom-companies/

2、https://www.seqrite.com/blog/operation-dragonclone-chinese-telecom-veletrix-vshell-malware/

声明：本文来自网空闲话plus，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。