Se cree que los actores de amenazas vinculados a China estarán involucrados en nuevas operaciones de ciberespionaje dirigidas a gobiernos y agencias de aplicación de la ley en todo el sudeste asiático a lo largo de 2025.
Check Point Research está rastreando un grupo de actividad previamente indocumentado bajo el nombre «Amaranth-Dragon», que, según dice, comparte una conexión con el ecosistema APT 41. Los países objetivo incluyen Camboya, Tailandia, Laos, Indonesia, Singapur y Filipinas.
«Muchas de las campañas se programaron en función de acontecimientos políticos locales sensibles, decisiones gubernamentales oficiales y eventos regionales relacionados con la seguridad», dijo la firma de ciberseguridad en un informe compartido con Hacker News. «Al anclar su actividad maliciosa en un contexto familiar y oportuno, los atacantes aumentaron significativamente la probabilidad de que sus objetivos interactuaran con su contenido».
La compañía israelí añadió que el ataque fue «centrado» y «de alcance limitado», lo que indica un esfuerzo por parte de los atacantes para establecer una persistencia a largo plazo en la recopilación de inteligencia geopolítica.
El aspecto más notable del modus operandi de los atacantes es su alto grado de sigilo, con campañas «altamente controladas» e infraestructura de ataque configurada para interactuar únicamente con víctimas en países objetivo específicos para minimizar la exposición.
Se descubrió que una cadena de ataque lanzada por un adversario explotaba CVE-2025-8088. CVE-2025-8088 es una falla de seguridad que afecta a RARLAB WinRAR y que actualmente está parcheada y podría provocar la ejecución de código arbitrario cuando un objetivo abre un archivo especialmente diseñado. La explotación de esta vulnerabilidad se observó aproximadamente ocho días después de que se hiciera pública en agosto.
«El grupo distribuyó archivos RAR maliciosos que explotaron la vulnerabilidad CVE-2025-8088, permitieron la ejecución de código arbitrario y mantuvieron la persistencia en las máquinas comprometidas», dijeron los investigadores de Check Point. «La velocidad y confiabilidad con la que se puso en práctica esta vulnerabilidad resalta la madurez tecnológica y la preparación del grupo».
Aunque en esta etapa se desconoce la ruta de acceso inicial exacta, la naturaleza altamente dirigida de la campaña, junto con el uso de señuelos específicos relacionados con acontecimientos políticos, económicos o militares en la región, sugiere que se están utilizando correos electrónicos de phishing para distribuir archivos alojados en plataformas en la nube bien conocidas, como Dropbox, para reducir las sospechas y evadir las defensas perimetrales tradicionales.
Este archivo contiene varios archivos que contienen una DLL maliciosa llamada Amaranth Loader que se inicia mediante la descarga de DLL, otra táctica favorita desde hace mucho tiempo entre los actores de amenazas chinos. Este cargador comparte similitudes con herramientas previamente identificadas como utilizadas por el equipo de piratería APt41, incluidas DodgeBox, DUSTPAN (también conocido como StealthVector) y DUSTTRAP.
Cuando se ejecuta, el cargador está diseñado para conectarse a un servidor externo para obtener una clave de cifrado, que luego utiliza para descifrar una carga útil cifrada obtenida de otra URL y ejecutarla directamente en la memoria. La carga útil final implementada como parte del ataque es un marco de comando y control (C2 o C&C) de código abierto conocido como Havoc.
Por el contrario, las primeras etapas de la campaña detectadas en marzo de 2025 aprovecharon archivos ZIP que contenían accesos directos de Windows (LNK) y lotes (BAT) para descifrar y ejecutar Amaranth Loader mediante la descarga de DLL. También se observó una secuencia de ataque similar en una campaña a finales de octubre de 2025 utilizando señuelos asociados con la Guardia Costera de Filipinas.
En otra campaña dirigida a Indonesia a principios de septiembre de 2025, los atacantes optaron por distribuir archivos RAR protegidos con contraseña desde Dropbox para entregar un troyano de acceso remoto (RAT) completamente funcional con nombre en código TGamaranth RAT en lugar de Amaranth Loader, que aprovecha un bot de Telegram codificado para C2.
Además de implementar técnicas anti-depuración y antivirus para combatir el análisis y la detección, RAT admite los siguientes comandos:
/start, envía una lista de procesos en ejecución desde la máquina infectada al bot. /captura de pantalla, captura y sube una captura de pantalla. /shell, ejecuta el comando especificado en la máquina infectada y extrae el resultado. /download, descarga el archivo especificado de la máquina infectada. /upload, carga archivos a la máquina infectada.
Además, la infraestructura C2 está protegida por Cloudflare y configurada para aceptar solo tráfico de direcciones IP dentro del país específico objetivo de cada operación. Esta actividad también demuestra cómo los actores de amenazas sofisticados pueden convertir en armas infraestructuras legítimas y confiables para llevar a cabo ataques dirigidos mientras continúan operando de manera encubierta.
La relación entre Amaranth-Dragon y APT41 surge de una superposición en sus arsenales de malware, lo que sugiere una posible conexión o recursos compartidos entre los dos grupos. Vale la pena señalar que los actores de amenazas chinos son conocidos por compartir herramientas, tecnología e infraestructura.
«Además, el estilo de desarrollo, incluida la creación de nuevos subprocesos para ejecutar código malicioso dentro de las funciones de exportación, refleja fielmente las prácticas establecidas de APT41», dijo Check Point.
«Las marcas de tiempo de compilación, el momento de la campaña y la gestión de la infraestructura apuntan a un equipo disciplinado y con buenos recursos que opera en la zona UTC+8 (hora estándar de China). En conjunto, estas superposiciones técnicas y operativas sugieren fuertemente que Amaranth-Dragon está estrechamente asociado o es parte del ecosistema APT41 y continúa el patrón de focalización y desarrollo de herramientas establecido en esta región».
Mustang Panda ofrece la variante PlugX en una nueva campaña
La divulgación se produce cuando la empresa de ciberseguridad Dream Research Lab, con sede en Tel Aviv, reveló detalles de una campaña organizada por otro grupo de estado-nación chino rastreado como Mustang Panda que tuvo como objetivo funcionarios diplomáticos, electorales y de coordinación internacional en múltiples regiones desde diciembre de 2025 hasta mediados de enero de 2026. A esta actividad se le asignó el nombre de «Diplomacia PlugX».
«La operación se basó en la suplantación y la confianza en lugar de explotar las vulnerabilidades del software», dijo la compañía. «Las víctimas fueron inducidas a abrir archivos que parecían ser resúmenes diplomáticos o documentos políticos relacionados con Estados Unidos. Abrir los archivos fue suficiente para provocar la violación».
El documento allana el camino para la implementación de variantes personalizadas de PlugX, un malware de larga data utilizado por grupos de piratas informáticos para recopilar datos de forma encubierta y obtener acceso persistente a hosts comprometidos. La variante, llamada DOPLUGS, se ha detectado en la naturaleza desde al menos finales de diciembre de 2022.
La cadena de ataques es bastante consistente en el sentido de que los archivos adjuntos ZIP maliciosos centrados en reuniones oficiales, elecciones y foros internacionales actúan como catalizadores para detonar procesos multiestatales. Hay un único archivo LNK dentro del archivo comprimido que, cuando se inicia, activa la ejecución de comandos de PowerShell que extraen y eliminan el archivo TAR.
«La lógica integrada de PowerShell busca recursivamente el archivo ZIP, lo lee como bytes sin procesar y extrae la carga útil comenzando en un desplazamiento de bytes fijo», explicó Dream. «Los datos tallados se escriben en el disco mediante una llamada ofuscada al método WriteAllBytes. Los datos extraídos se tratan como un archivo TAR y se descomprimen usando la utilidad nativa tar.exe, lo que demuestra el uso consistente de binarios residentes (LOLBins) a lo largo de la cadena de infección».
El archivo TAR contiene tres archivos.
El archivo ejecutable firmado legítimo asociado con AOMEI Backupper es vulnerable al secuestro del orden de búsqueda de DLL (‘RemoveBackupper.exe’) Archivo cifrado que contiene la carga útil de PlugX (‘backupper.dat’) DLL maliciosa descargada usando un archivo ejecutable (‘comn.dll’) para cargar PlugX
Cuando se ejecuta el ejecutable legítimo, se muestra al usuario un documento PDF señuelo mientras DOPLUGS está instalado en el host en segundo plano, lo que le da a la víctima la impresión de que no pasa nada.
«La correlación entre los acontecimientos diplomáticos reales y el momento en que se detectaron señuelos sugiere que es probable que operaciones similares continúen a medida que avancen los acontecimientos geopolíticos», concluyó Dream.
«Por lo tanto, las organizaciones que operan en campos diplomáticos, gubernamentales y orientados a políticas deberían considerar los métodos maliciosos de distribución de LNK y el secuestro de órdenes de búsqueda de DLL a través de ejecutables legítimos como una amenaza persistente y de alta prioridad en lugar de una táctica aislada y temporal».
Source link
