Amaranth-Dragon kampány
A Check Point Research jelentése szerint egy Amaranth-Dragon néven azonosított, Kínához kötött fenyegető csoport 2025 során kifejezetten célzott kiberkémkedési kampányokat folytatott Délkelet-Ázsia kormányzati, rendvédelmi és igazságügyi szervezetei ellen, amelyekben a mostanra ismertté vált, kritikus CVE-2025-8088 sebezhetőséget tették fegyverré. Ez a hiba egy WinRAR path-traversal problémát takar, amely lehetővé tette, hogy egy rosszindulatúan összeállított RAR-fájl tetszőleges fájlokat írjon a rendszer kritikus helyeire és kódot hajtson végre. Ilyen módon az exploit közvetlenül biztosított kezdeti hozzáférést a támadók számára.
Az Amaranth-Dragon kampányban a támadók phishing e-mailekben eljuttatott, álcázott RAR-fájlokat használtak, amelyek a WinRAR-hiba kihasználásával telepítettek egy saját Amaranth Loader nevű betöltőt. Ez a betöltő titkosított, AES-szimmetrikus módon tartalmazott további rosszindulatú kódot, és futás közben USB-alapú vagy felhőben tárolt C2 szerverekkel kommunikálva a Havoc parancs- és-vezérlő keretrendszert telepítette, amellyel a kompromittált eszközök felett távoli irányítás és adatgyűjtés vált lehetővé. Az infrastruktúrát úgy konfigurálták, hogy a C2-k csak az adott célországokból érkező forgalmat fogadjanak, így csökkentve a véletlen fertőzések és a védelmi vizsgálatok esélyét.
Az Amaranth-Dragon eszköztára részben átfedésben áll az APT-41 korábban azonosított megoldásaival, beleértve a hasonló betöltőket és post-exploitation keretrendszereket, ami arra utal, hogy a csoport vagy közös forrásokat használ, vagy szoros kapcsolatban áll más ismert, Kínához köthető fenyegető szereplőkkel.
Egyes kampányokban emellett egy új TGAmaranth RAT trójai is megjelent, amely Telegram-boton keresztül vezérelhető, tovább bonyolítva a vezérlési csatornát és nehezítve az észlelést. A gyors exploit‐feldolgozás és a célzott, földrajzilag korlátozott parancs- és-vezérlő architektúra mind azt mutatja, hogy az Amaranth-Dragon hatékonyan használja ki az újonnan felfedezett sebezhetőségeket politikailag motivált, intelligencia-gyűjtési célokra.
