Espionagem chinesa: grupo usa falha no WinRAR para atacar países asiáticos
Um grupo de hackers ligados à China, conhecido como Amaranth-Dragon, tem realizado campanhas de espionagem em agências governamentais e legais em países asiáticos, especialmente no sudoeste da Ásia. De acordo com pesquisadores da Check Point Research, essas campanhas foram arquitetadas para coincidir com acontecimentos políticos sensíveis dos países afetados, decisões governamentais importantes ou eventos de segurança regionais.
Os hackers utilizam uma falha no WinRAR, conhecida como CVE-2025-8088, que permite a execução remota de códigos. Embora a vulnerabilidade tenha sido corrigida, ela ainda pode ser explorada devido ao fato de que o aplicativo não atualiza automaticamente e requer interação manual para isso.
O vetor inicial de acesso dos hackers ainda é desconhecido, mas acredita-se que o grupo faça uso de spear-phishing por e-mail e plataformas de nuvem como Dropbox para diminuir as suspeitas e evitar parâmetros de defesa comuns. O arquivo recebido pela vítima é um DLL chamado Amaranth Loader que realiza carregamento lateral, técnica popular entre os cibercriminosos chineses.
Características do ataque
- O loader malicioso é semelhante a ferramentas como DodgeBox, DUSTPAN (StealthVector) e DUSTTRAP, já identificados em ataques da APT 41.
- O loader se conecta com um servidor externo para receber uma chave de encriptação, usada para desencriptar um payload e executá-lo diretamente na memória, num framework conhecido como Havoc.
- Em alguns ataques, foi entregue um trojan de acesso remoto (RAT) chamado TGAmaranth RAT.
A infraestrutura C2 dos hackers é hospedada na Cloudflare e só aceita tráfego de endereços de IP de países específicos atacados em cada operação. A sofisticação crescente das técnicas de ataque indica que os hackers estão compartilhando ferramentas e infraestrutura, o que reforça a ligação do grupo com a APT 41.
Este conteúdo pode conter links de compra.
Fonte: link