o grupo de hackers chineses que explora falha no WinRAR em espionagem na Ásia

Um grupo de hackers chineses conhecido como Amaranto-Dragão tem conduzido operações sofisticadas de espionagem cibernética em diversos países do sudeste asiático durante 2025. Segundo investigação da Check Point Research (CPR), o grupo está diretamente vinculado ao ecossistema APT 41 e tem explorado uma vulnerabilidade crítica no WinRAR para infiltrar redes governamentais e organizações legais na região.

A campanha de espionagem tem como alvos principais países como Camboja, Laos, Indonésia, Filipinas, Tailândia e Singapura, com ataques meticulosamente planejados para coincidirem com eventos políticos sensíveis ou decisões governamentais importantes. Esta abordagem estratégica aumenta significativamente as chances de as vítimas interagirem com o conteúdo malicioso.

Os pesquisadores identificaram que o Amaranth-Dragon se caracteriza por realizar ataques altamente focados e de escopo reduzido, priorizando a persistência nos sistemas comprometidos para garantir a coleta contínua de informações geopolíticas. A principal vulnerabilidade explorada é a CVE-2025-8088 do WinRAR, que permite execução remota de código.

Mesmo tendo sido corrigida, esta falha de segurança continua representando riscos significativos para usuários do WinRAR, já que o aplicativo não se atualiza automaticamente e requer intervenção manual do usuário para instalar correções de segurança.

Embora o vetor inicial de infecção ainda não tenha sido completamente identificado, os especialistas da CPR acreditam que o Amaranth-Dragon utiliza ataques de spear-phishing via e-mail e plataformas de armazenamento em nuvem como o Dropbox. Esta estratégia visa reduzir suspeitas e contornar mecanismos de defesa comumente implementados em redes corporativas.

Uma vez que consegue acesso ao sistema da vítima, o grupo implanta um componente malicioso chamado Amaranth Loader, que realiza carregamento lateral, técnica frequentemente utilizada em operações de APTs chinesas. Este loader apresenta semelhanças significativas com outras ferramentas já identificadas em ataques anteriores da APT 41, como DodgeBox, DUSTPAN e DUSTTRAP.

O processo de infecção prossegue com o estabelecimento de uma conexão a servidores de comando e controle, de onde o malware obtém uma chave de encriptação. Esta chave é utilizada para desencriptar um payload adicional que é executado diretamente na memória do sistema, utilizando um framework conhecido como Havoc. Em alguns casos, os pesquisadores identificaram a entrega de um trojan de acesso remoto (RAT) denominado TGAmaranth RAT.

Para dificultar a detecção, toda a infraestrutura de comando e controle (C2) do Amaranth-Dragon é hospedada na nuvemflare e configurada para aceitar apenas conexões provenientes de endereços IP específicos dos países que estão sendo alvos da operação em curso.

O relatório da Check Point Research destaca a crescente sofisticação técnica do grupo, com evidências que sugerem o compartilhamento de ferramentas e infraestrutura entre diferentes células operacionais. Este comportamento reforça a ligação entre o Amaranth-Dragon e o grupo APT 41, conhecido por suas extensas campanhas de espionagem patrocinadas pelo estado chinês.