Hackers chineses exploram falha no WinRAR para espionagem na Ásia

Um grupo de hackers chineses chamado Amaranth-Dragon tem realizado operações de espionagem cibernética em diversos países do sudeste asiático em 2025. Segundo investigações, esse grupo está ligado ao ecossistema APT 41 e tem explorado uma vulnerabilidade crítica no WinRAR para invadir redes governamentais e organizações na região.

Os principais alvos dessa campanha incluem Camboja, Laos, Indonésia, Filipinas, Tailândia e Singapura. Os ataques são meticulosamente planejados para coincidirem com momentos políticos delicados ou decisões governamentais importantes, aumentando as chances de as vítimas interagirem com conteúdo malicioso.

A equipe de pesquisa identificou que o grupo Amaranth-Dragon realiza ataques focados e de alcance limitado, priorizando a manutenção do acesso aos sistemas comprometidos para garantir a coleta constante de informações geopolíticas. A vulnerabilidade explorada é a CVE-2025-8088 do WinRAR, que permite a execução remota de código.

Apesar de já ter sido corrigida, essa falha de segurança ainda apresenta riscos significativos para os usuários do WinRAR, pois o aplicativo não se atualiza automaticamente e exige ação manual para a instalação de correções de segurança.

Embora o vetor inicial de infecção não tenha sido totalmente identificado, especialistas acreditam que o Amaranth-Dragon utiliza ataques de spear-phishing via e-mail e serviços de armazenamento em nuvem, como o Dropbox, para reduzir suspeitas e se esquivar de mecanismos defensivos comuns nas redes corporativas.

Após obter acesso ao sistema da vítima, o grupo implanta um componente malicioso chamado Amaranth Loader, que realiza técnicas de carregamento lateral, frequentemente associadas a operações de APTs chinesas. Esse loader apresenta semelhanças com outras ferramentas já vistas em ataques anteriores do APT 41, como DodgeBox, DUSTPAN e DUSTTRAP.

A infecção continua com a criação de um canal de comunicação com servidores de comando e controle, de onde o malware recebe uma chave de encriptação. Essa chave é utilizada para desencriptar um payload adicional que é executado na memória do sistema, utilizando um framework conhecido como Havoc. Em certas situações, foram identificados trojans de acesso remoto (RAT) denominados TGAmaranth RAT.

Para evitar a detecção, toda a infraestrutura de comando e controle do Amaranth-Dragon é hospedada na Cloudflare e configurada para aceitar apenas conexões de endereços IP específicos dos países alvos da operação.

O relatório revela a crescente sofisticação técnica do grupo, com indícios de compartilhamento de ferramentas e infraestrutura entre diferentes células operacionais. Esse comportamento reforça a ligação entre o Amaranth-Dragon e o grupo APT 41, que é conhecido por suas extensas campanhas de espionagem apoiadas pelo estado chinês.