FINALDRAFT Bakdør
Trusselaktøren, ofte omtalt som Jewelbug, har intensivert fokuset sitt på europeiske myndighetsorganisasjoner siden juli 2025, samtidig som den fortsatt opprettholder aktive operasjoner mot mål i Sørøst-Asia og Sør-Amerika. Forskere sporer denne aktivitetsklyngen som Ink Dragon, en gruppe som også er kjent i det bredere sikkerhetsmiljøet som CL-STA-0049, Earth Alux og REF7707. Aktøren vurderes å være Kina-alliert og har vist vedvarende aktivitet siden minst mars 2023.
Innholdsfortegnelse
Flere identiteter, én koordinert klynge
Ink Dragons kampanjer gjenspeiler en moden og disiplinert inntrengingsevne. Operatørene kombinerer sterke programvareutviklingsferdigheter med repeterbare driftsplaner, og er ofte avhengige av innebygde plattformverktøy for å blande ondsinnet aktivitet inn i legitim bedriftstelemetri. Dette bevisste håndverket øker stealth-sikkerheten betydelig og kompliserer deteksjon.
Omfang, mål og pågående innvirkning
Kampanjen er fortsatt aktiv og har allerede rammet flere titalls ofre. De berørte organisasjonene spenner over offentlige etater og telekommunikasjonsleverandører i Europa, Asia og Afrika. Bredden av ofre understreker både skalerbarheten til aktørens infrastruktur og dens strategiske interesse i nettverk med høy verdi.
Tidlig synlighet og viktige familier av skadelig programvare
Offentlig innsikt i Ink Dragon kom frem i februar 2025, da forskere dokumenterte bruken av FINALDRAFT-bakdøren, også kjent som Squidoor. Denne skadelige programvaren støtter både Windows- og Linux-miljøer. Nylig ble gruppen koblet til et langvarig, fem måneder langt innbrudd mot en russisk IT-tjenesteleverandør, noe som fremhevet dens evne til å opprettholde langvarig, skjult tilgang.
Førstegangstilgang og levering av nyttelast
Ink Dragon kommer vanligvis inn ved å utnytte sårbare, internettvendte webapplikasjoner. Disse svakhetene misbrukes til å distribuere webshells, som deretter fungerer som oppskytningspunkter for tilleggsverktøy som VARGEIT og Cobalt Strike. Disse nyttelastene støtter kommando- og kontrollkommunikasjon, intern rekognosering, lateral bevegelse, omgåelse av forsvar og datatyveri.
Misbruk av skytjenester og legitime tjenester
Blant gruppens sekundære bakdører er NANOREMOTE, som bruker Google Drive API til å utveksle filer mellom infiserte verter og angriperkontrollert infrastruktur. Verktøyvalget virker bevisst og situasjonsbestemt, noe som tyder på at operatører skreddersyr implementeringer til offermiljøet og favoriserer teknikker som ligner normale, pålitelige trafikkmønstre.
ViewState-utnyttelse og kapring av C2-infrastruktur
En definerende teknikk i Ink Dragons strategiplan innebærer å utnytte svake eller feilstyrte ASP.NET-maskinnøkler. Ved å misbruke ViewState-deserialiseringsfeil i IIS- og SharePoint-servere installerer aktøren en tilpasset ShadowPad IIS Listener-modul. Dette forvandler kompromitterte servere til aktive komponenter i angriperens kommando- og kontrollnettverk, slik at de kan sende trafikk og kommandoer via proxy og øke robustheten betydelig.
Fra lokalt sikkerhetsbrudd til globalt relénettverk
Denne arkitekturen gjør det mulig å rute trafikk ikke bare dypere inn i én enkelt organisasjon, men også på tvers av helt separate offernettverk. Som et resultat kan én kompromittert server stille bli en mellommann i en bredere, flerlags infrastruktur. Lyttermodulen i seg selv støtter ekstern kommandoutførelse, noe som gir operatører direkte kontroll over rekognosering og nyttelaststaging.
Taktikker etter utnyttelse og privilegietopptrapping
Utover misbruk av ViewState, har Ink Dragon utnyttet ToolShell SharePoint-sårbarheter som våpen for å distribuere webshells. Etter den første kompromitteringen utfører aktøren vanligvis flere handlinger for å forankre tilgang og eskalere rettigheter:
- Utnytte IIS-maskinnøkler for å hente lokale administrative legitimasjonsopplysninger og bevege seg sideveis via RDP-tunneler
- Etablering av utholdenhet gjennom planlagte oppgaver og skadelige tjenester
- Dumping av LSASS-minne og utpakking av registerstrukturer for å heve rettigheter
- Endre vertsbrannmurregler for å tillate utgående trafikk og konvertere systemer til ShadowPad-relénoder
Avansert gjenbruk av legitimasjon og domenekompromittering
I minst ett observert tilfelle identifiserte angriperne en frakoblet, men aktiv RDP-økt som tilhørte en domeneadministrator som ble autentisert gjennom nettverksnivåautentisering med NTLMv2-reserve. Fordi økten forble avlogget, men ikke avsluttet, ble sensitivt legitimasjonsmateriale beholdt i LSASS-minnet. Etter å ha fått tilgang på SYSTEM-nivå, pakket Ink Dragon ut tokenet og brukte det på nytt til å utføre autentiserte SMB-operasjoner, skrive til administrative delte ressurser og eksfiltrere NTDS.dit og registerstrukturer.
Et modulært persistensøkosystem
I stedet for å stole på én bakdør, bruker Ink Dragon en samling spesialiserte komponenter for å opprettholde langsiktig tilgang. Observerte verktøy inkluderer:
- ShadowPad Loader for å dekryptere og kjøre ShadowPad-kjernemodulen i minnet
- CDBLoader, som misbruker Microsofts konsollfeilsøkingsprogram til å kjøre skallkode og laste inn krypterte nyttelaster
- LalsDumper for utpakking av LSASS-minne
- 032Loader for dekryptering og kjøring av ekstra nyttelaster
- FINALDRAFT, et modernisert verktøy for fjernadministrasjon som misbruker Outlook og Microsoft Graph til kommando og kontroll
Utviklingen av FINALDRAFT
Gruppen har nylig tatt i bruk en ny FINALDRAFT-variant designet for større stealth-funksjonalitet og raskere datautvinning. Den introduserer avanserte unnvikelsesmetoder, støtter flertrinns levering av nyttelast og muliggjør skjult sideveis bevegelse. Kommandoer leveres som kodede dokumenter plassert i offerets postkasse, som implantatet henter, dekrypterer og utfører gjennom et modulært kommandorammeverk.
Overlapping med andre trusselaktører
Etterforskere har også identifisert spor etter en annen Kina-tilknyttet gruppe, REF3927, også kjent som RudePanda, i flere miljøer som er kompromittert av Ink Dragon. Det finnes ingen bevis for koordinering mellom de to, og overlappingen antas å skyldes at begge aktørene utnytter lignende innledende tilgangsvektorer i stedet for å dele infrastruktur eller operasjoner.
En ny trusselmodell for forsvarere
Ink Dragon visker ut den tradisjonelle grensen mellom infiserte verter og kommandoinfrastruktur. Hvert kompromittert system blir en funksjonell node i et angriperkontrollert nettverk som utvides med hvert nytt offer. For forsvarere betyr dette at inneslutning ikke kan fokusere utelukkende på individuelle systemer. Effektiv forstyrrelse krever identifisering og demontering av hele relékjeden. Ink Dragons relésentriske bruk av ShadowPad representerer en av de mest modne implementeringene som er observert så langt, og gjør effektivt offernettverkene til ryggraden i langsiktige, tverrorganisasjonelle spionasjekampanjer.
