Čínská špionážní kampaň cílí na Českou republiku - Operace Dragon Weave
Výzkumníci ze Seqrite Labs odhalili novou kyberšpionážní kampaň s krycím názvem Operation Dragon Weave, která cílí na úředníky a občany v České republice a na Tchaj-wanu. Mezi zasažené sektory patří státní správa, výzkum a akademická sféra, technologické firmy a finanční služby.
Útok začíná spear-phishingovým e-mailem s přílohou ve formátu ZIP. Po rozbalení archiv obsahuje soubory, které na první pohled působí legitimně, ve skutečnosti však tvoří strukturovaný infekční řetězec spouštějící škodlivý kód na pozadí.
Zajímavostí kampaně je, že útočníci připravili dvě nezávislé cesty infekce, které se sbíhají u stejného payloadu. V první variantě oběť otevře škodlivý LNK soubor maskovaný dvojitou příponou jako PDF dokument; ten skrytě spustí VBScript, který předá řízení PowerShell skriptu. Skript dešifruje pomocí jednoduché XOR operace soubor 1.dat a z něj vytvoří a spustí RuntimeBroker_update.exe.
Ve druhé variantě oběť spustí přímo binárku z archivu. Samostatný dropper napsaný v jazyce Rust, který všechny komponenty nese v sobě.
V obou případech následně dojde k DLL side-loadingu podvržené knihovny UnityPlayer.dll a k nasazení Rust loaderu pojmenovaného RUSTCLOAK. Ten před spuštěním payloadu kontroluje název počítače proti seznamu více než stovky známých sandboxových strojů a v případě shody se okamžitě ukončí.
Finálním payloadem je AZUREVEIL, plnohodnotný agent open-source frameworku AdaptixC2. Jeho nejzajímavějším rysem je komunikace s řídicí infrastrukturou: malware nepoužívá žádný tradiční C2 server, ale takzvaný dead drop přístup přes Microsoft Azure Blob Storage. Útočník i infikovaný systém spolu nikdy nekomunikují přímo takže se provoz ztrácí v běžné komunikaci s legitimní cloudovou službou na portu 443.
Pro český kontext je podstatná návnada napodobující dokument České správy sociálního zabezpečení (ČSSZ). Decoy PDF vložené přímo do spustitelného souboru vypadá jako oficiální potvrzení rezervace termínu návštěvy úřadu včetně jména fiktivní osoby, data schůzky, pokynů k vyzvednutí pořadového lístku a odkazu na oficiální web cssz[.]cz.
::: info Víte, jestli jsou vaše systémy bezpečné? Každý týden přinášíme příklady útoků a zranitelností, které mohou zasáhnout kohokoliv. Pokud si nejste jistí, zda je vaše infrastruktura odolná, rádi vám pomůžeme to zjistit. V SysNetShield nabízíme sken zranitelností, penetrační testy, Red Teaming i simulace phishingových kampaní. Napište nám, první konzultace nebo scan zranitelností na jednu doménu/IP adresu je zdarma. :::
Jediný škodlivý issue stačil k převzetí repozitáře: zranitelnost v Claude Code GitHub Action
Bezpečnostní výzkumník RyotaK z japonské společnosti GMO Flatt Security odhalil zranitelnost v nástroji Claude Code GitHub Action od Anthropicu, která útočníkovi umožňovala převzít kontrolu nad zranitelnými veřejnými repozitáři. Stačil k tomu jediný založený GitHub issue.
Claude Code GitHub Actions vloží Claude přímo do CI/CD pipeline, kde třídí issues, přiděluje štítky, recenzuje pull requesty nebo spouští slash příkazy. Ve výchozím nastavení má workflow read i write přístup ke kódu repozitáře, k issues, pull requestům, diskuzím i k souborům workflow.
Protože jsou tato oprávnění široká, má Action přísně hlídat, kdo ji smí spustit. Jenže kontrola spouštěče (funkce checkWritePermissions) měla chybu. Bezpodmínečně propustila jakéhokoli uživatele, jehož jméno končilo na [bot], na základě předpokladu, že GitHub Apps jsou důvěryhodné nástroje instalované administrátory.
Problém je, že GitHub App si může zaregistrovat kdokoli, nainstalovat ho na vlastní repozitář a pomocí jeho tokenu založit issue nebo pull request na libovolném veřejném repozitáři. Action uviděla „bota" a obsah útočníka propustila.
RyotaK nahlásil jádro problému (tzv. permission bypass) Anthropicu 12. ledna 2026 a ten ho opravil během čtyř dnů; další záplaty (hardening) přidával v průběhu jara a všechny jsou součástí verze claude-code-action v1.0.94.
Anthropic ohodnotil zranitelnosti skóre 7.8 podle CVSS v4.0 a v rámci bug bounty programu vyplatil 3 800 USD a bonus 1 000 USD.
Kritická zranitelnost Netlogon (CVE-2026-41089): doménové řadiče pod aktivním útokem
Microsoft odhalil chybu sledovanou jako CVE-2026-41089 s hodnocením CVSS 9,8 která postihuje všechny podporované verze Windows Server nakonfigurované jako doménové řadiče a umožňuje útočníkům vzdálené spuštění kódu s oprávněními SYSTEM prostřednictvím rozhraní Netlogon RPC.
Na technické úrovni je útok velmi jednoduchý. Útočníkovi stačí síťový přístup ke službě Netlogon zranitelného doménového řadiče. Odesláním speciálně upraveného síťového požadavku vyvolá chybné zpracování v rámci služby a dosáhne spuštění libovolného kódu s oprávněními SYSTEM. Není vyžadována žádná předchozí autentizace, lokální přístup ani interakce uživatele, což z chyby dělá ideálního kandidáta pro automatizované zneužívání, lateral movement a rychlou kompromitaci domény.
Postiženy jsou všechny verze od Windows Server 2012 až po Windows Server 2025.
Microsoft chybu zveřejnil 12. května 2026 a její nahlášení připsal svému internímu ofenzivnímu týmu Windows Attack Research & Protection (WARP).
Cisco Catalyst SD-WAN Manager: další aktivně zneužívaná zero-day chyba bez záplaty
Cisco varovalo před vysoce závažnou zranitelností v produktu Catalyst SD-WAN Manager, která je již aktivně zneužívána útočníky. Chyba sledovaná jako CVE-2026-20245 s hodnocením CVSS 7.8 spočívá v rozhraní příkazové řádky sd-wan manageru.
Kvůli nedostatečné validaci vstupu zadaného uživatelem může útočník nahrát speciálně připravený soubor, vyvolat tím command injection a eskalovat svá oprávnění až na úroveň uživatele root.
Důležitým detailem je, že nejde o vzdálenou neautentizovanou chybu. K jejímu zneužití musí mít útočník na cílovém systému oprávnění netadmin, což znamená buď platné přihlašovací údaje, nebo předchozí kompromitaci přes některou z dříve odhalených zranitelností kdy v útocích se využívá CVE-2026-20182 nebo CVE-2026-20127.
Oprava ani žádný workaround zatím neexistují. Bezpečnostní tým Cisco PSIRT se o zneužívání dozvěděl v červnu 2026, kdy mu chybu nahlásila společnost Mandiant.
CVE-2026-20245 je už sedmou zranitelností v produktové řadě Cisco SD-WAN, která byla letos označena za aktivně zneužívanou. Tato série není náhodná. Cisco Talos sleduje pod označením UAT-8616 vysoce sofistikovaného aktéra, jehož aktivita sahá nejméně do roku 2023 a který cílí především na sektory kritické infrastruktury.
