FINALDRAFT Bagdør
Trusselsaktøren, der almindeligvis omtales som Jewelbug, har intensiveret sit fokus på europæiske regeringsorganisationer siden juli 2025, samtidig med at den stadig opretholder aktive operationer mod mål i Sydøstasien og Sydamerika. Forskere sporer denne aktivitetsklynge som Ink Dragon, en gruppe, der også er kendt i det bredere sikkerhedssamfund som CL-STA-0049, Earth Alux og REF7707. Aktøren vurderes at være tilknyttet Kina og har udvist vedvarende aktivitet siden mindst marts 2023.
Indholdsfortegnelse
Flere identiteter, én koordineret klynge
Ink Dragons kampagner afspejler en moden og disciplineret indtrængningskapacitet. Operatørerne kombinerer stærke softwareudviklingsfærdigheder med gentagelige operationelle strategier og bruger ofte indbyggede platformværktøjer til at blande ondsindet aktivitet med legitim virksomhedstelemetri. Dette bevidste håndværk øger stealth-sikkerheden betydeligt og komplicerer detektion.
Omfang, mål og løbende effekt
Kampagnen er fortsat aktiv og har allerede påvirket adskillige dusin ofre. De berørte organisationer spænder over offentlige myndigheder og telekommunikationsudbydere i hele Europa, Asien og Afrika. Bredden af ofre understreger både skalerbarheden af aktørens infrastruktur og dens strategiske interesse i netværk af høj værdi.
Tidlig synlighed og vigtige malwarefamilier
Offentlig indsigt i Ink Dragon kom frem i februar 2025, da forskere dokumenterede dens brug af FINALDRAFT-bagdøren, også kendt som Squidoor. Denne malware understøtter både Windows- og Linux-miljøer. For nylig blev gruppen forbundet med et langvarigt, fem måneder langt indbrud mod en russisk IT-udbyder, hvilket understregede dens evne til at opretholde langvarig, skjult adgang.
Første adgang og levering af nyttelast
Ink Dragon kommer typisk ind på markedet ved at udnytte sårbare, internetvendte webapplikationer. Disse svagheder misbruges til at implementere webshells, som derefter fungerer som affyringspunkter for yderligere værktøjer som VARGEIT og Cobalt Strike. Disse nyttelaster understøtter kommando- og kontrolkommunikation, intern rekognoscering, lateral bevægelse, undvigelse af forsvar og datatyveri.
Misbrug af cloud- og legitime tjenester
Blandt gruppens sekundære bagdøre er NANOREMOTE, som udnytter Google Drive API'en til at udveksle filer mellem inficerede værter og angriberkontrolleret infrastruktur. Værktøjsvalget synes bevidst og situationsbestemt, hvilket tyder på, at operatører skræddersyr implementeringer til offermiljøet og foretrækker teknikker, der ligner normale, betroede trafikmønstre.
ViewState-udnyttelse og kapring af C2-infrastruktur
En definerende teknik i Ink Dragons playbook involverer udnyttelse af svage eller dårligt administrerede ASP.NET-maskinnøgler. Ved at misbruge ViewState-deserialiseringsfejl i IIS- og SharePoint-servere installerer aktøren et brugerdefineret ShadowPad IIS Listener-modul. Dette omdanner kompromitterede servere til aktive komponenter i angriberens kommando-og-kontrolnetværk, hvilket gør det muligt for dem at proxy-trafik og kommandoer og øge modstandsdygtigheden betydeligt.
Fra lokalt brud til globalt relænetværk
Denne arkitektur gør det muligt at dirigere trafik ikke kun dybere ind i en enkelt organisation, men også på tværs af helt separate offernetværk. Som et resultat kan én kompromitteret server lydløst blive en mellemmand i en bredere, flerlags infrastruktur. Selve lyttemodulet understøtter fjernudførelse af kommandoer, hvilket giver operatører direkte kontrol over rekognoscering og payload-staging.
Taktikker efter udnyttelse og privilegieteskalering
Ud over misbrug af ViewState har Ink Dragon udnyttet ToolShell SharePoint-sårbarheder som våben til at implementere web shells. Efter den første kompromittering udfører aktøren typisk flere handlinger for at forankre adgang og eskalere privilegier:
- Udnyttelse af IIS-maskinnøgler til at indhente lokale administrative legitimationsoplysninger og bevæge sig lateralt via RDP-tunneler
- Etablering af persistens gennem planlagte opgaver og ondsindede tjenester
- Dumping af LSASS-hukommelse og udpakning af registreringsdatabasehives for at hæve rettigheder
- Ændring af værtens firewallregler for at tillade udgående trafik og konvertere systemer til ShadowPad-relænoder
Avanceret genbrug af legitimationsoplysninger og domænekompromittering
I mindst ét observeret tilfælde identificerede angriberne en afbrudt, men aktiv RDP-session tilhørende en domæneadministrator, der var godkendt via netværksgodkendelse med NTLMv2-fallback. Fordi sessionen forblev logget af, men ikke afsluttet, bevaredes følsomt legitimationsoplysninger i LSASS-hukommelsen. Efter at have opnået adgang på SYSTEM-niveau, udtrak Ink Dragon tokenet og genbrugte det til at udføre godkendte SMB-operationer, skrive til administrative shares og eksfiltrere NTDS.dit og registreringsdatabasehives.
Et modulært persistensøkosystem
I stedet for at stole på en enkelt bagdør, anvender Ink Dragon en samling af specialiserede komponenter for at opretholde langsigtet adgang. Observerede værktøjer omfatter:
- ShadowPad Loader til dekryptering og udførelse af ShadowPad-kernemodulet i hukommelsen
- CDBLoader, som misbruger Microsofts konsolfejlfinder til at udføre shellcode og indlæse krypterede nyttelast
- LalsDumper til udpakning af LSASS-hukommelse
- 032Loader til dekryptering og kørsel af yderligere nyttelast
- FINALDRAFT, et moderniseret fjernadministrationsværktøj, der misbruger Outlook og Microsoft Graph til kommando- og kontrolfunktioner.
Udviklingen af FINALDRAFT
Gruppen har for nylig implementeret en ny FINALDRAFT-variant, der er designet til større stealth og hurtigere dataudvinding. Den introducerer avancerede undvigelsesmetoder, understøtter flertrinslevering af nyttelast og muliggør skjult lateral bevægelse. Kommandoer leveres som kodede dokumenter placeret i offerets postkasse, som implantatet henter, dekrypterer og udfører via et modulært kommandosystem.
Overlap med andre trusselsaktører
Efterforskere har også identificeret spor af en anden Kina-tilknyttet gruppe, REF3927, også kendt som RudePanda, i flere miljøer, der er kompromitteret af Ink Dragon. Der er ingen tegn på koordinering mellem de to, og overlapningen menes at stamme fra, at begge aktører udnytter lignende indledende adgangsvektorer i stedet for at dele infrastruktur eller operationer.
En ny trusselsmodel for forsvarere
Ink Dragon udvisker den traditionelle linje mellem inficerede værter og kommandoinfrastruktur. Hvert kompromitteret system bliver en funktionel node i et angriberkontrolleret netværk, der udvider sig med hvert nyt offer. For forsvarere betyder det, at inddæmning ikke udelukkende kan fokusere på individuelle systemer. Effektiv forstyrrelse kræver identifikation og afvikling af hele relækæden. Ink Dragons relæcentrerede brug af ShadowPad repræsenterer en af de mest modne implementeringer, der er observeret indtil videre, og gør effektivt offernetværk til rygraden i langsigtede, tværorganisatoriske spionagekampagner.
