A los actores de amenazas afiliados a China se les ha atribuido un nuevo conjunto de campañas de ciberespionaje dirigidas a agencias gubernamentales y encargadas de hacer cumplir la ley en todo el sudeste oriental a lo espléndido de 2025.
Check Point Research está rastreando el liga de actividades previamente indocumentadas bajo el nombre Amaranto-Dragónque, según dijo, comparte enlaces con el ecosistema APT 41. Los países objetivo incluyen Camboya, Tailandia, Laos, Indonesia, Singapur y Filipinas.
“Muchas de las campañas fueron programadas para coincidir con acontecimientos políticos locales sensibles, decisiones gubernamentales oficiales o eventos de seguridad regionales”, dijo la compañía de ciberseguridad en un documentación compartido con The Hacker News. “Al sujetar la actividad maliciosa en contextos familiares y oportunos, los atacantes aumentaron significativamente la probabilidad de que los objetivos interactuaran con el contenido”.
La firma israelí agregó que los ataques tuvieron “un enfoque establecido” y un “zona de influencia establecido”, lo que indica esfuerzos por parte de los actores de amenazas para establecer una persistencia a espléndido plazo en la sumario de inteligencia geopolítica.
El aspecto más trascendental del oficio de los actores de amenazas es el stop graduación de sigilo, con las campañas “en gran medida controladas” y la infraestructura de ataque configurada de tal guisa que solo pueda interactuar con víctimas en países objetivo específicos en un intento de minimizar la exposición.
Se ha descubierto que las cadenas de ataques montadas por el adversario abusan de CVE-2025-8088, una rotura de seguridad ahora parcheada que afecta a RARLAB WinRAR y permite la ejecución de código abusivo cuando los objetivos abren archivos especialmente diseñados. La explotación de la vulnerabilidad se observó unos ocho días a posteriori de su divulgación pública en agosto.
“El liga distribuyó un archivo RAR taimado que explota la vulnerabilidad CVE-2025-8088, permitiendo la ejecución de código abusivo y manteniendo la persistencia en la máquina comprometida”, señalaron los investigadores de Check Point. “La velocidad y confianza con la que se puso en maña esta vulnerabilidad subraya la masculinidad técnica y la preparación del liga”.
Aunque el vector de paso original exacto sigue siendo desconocido en esta etapa, la naturaleza en gran medida dirigida de las campañas, cercano con el uso de señuelos personalizados relacionados con los acontecimientos políticos, económicos o militares en la región, sugiere el uso de correos electrónicos de phishing para distribuir los archivos alojados en conocidas plataformas en la montón como Dropbox para disminuir las sospechas y eludir las defensas perimetrales tradicionales.
El archivo contiene varios archivos, incluido un DLL taimado llamado Amaranth Loader que se inicia mediante carga pegado de DLL, otra táctica preferida desde hace mucho tiempo entre los actores de amenazas chinos. El cargador comparte similitudes con herramientas como DodgeBox, DUSTPAN (todavía conocido como StealthVector) y DUSTTRAP, que han sido identificadas previamente como utilizadas por el equipo de piratería APt41.
Una vez ejecutado, el cargador está diseñado para contactar a un servidor forastero para recuperar una secreto de secreto, que luego se usa para descifrar una carga útil cifrada recuperada de una URL diferente y ejecutarla directamente en la memoria. La carga útil final implementada como parte del ataque es el ámbito de comando y control (C2 o C&C) de código libre conocido como Havoc.
Por el contrario, las primeras iteraciones de la campaña detectadas en marzo de 2025 utilizaron archivos ZIP que contenían accesos directos de Windows (LNK) y lotes (BAT) para descifrar y ejecutar Amaranth Loader mediante carga pegado de DLL. Asimismo se identificó una secuencia de ataque similar en una campaña de finales de octubre de 2025 utilizando señuelos relacionados con la Cuidado Costera de Filipinas.
En otra campaña dirigida a Indonesia a principios de septiembre de 2025, los actores de amenazas optaron por distribuir un archivo RAR protegido con contraseña desde Dropbox para entregar un troyano de paso remoto (RAT) completamente pragmático con nombre en código TGAmaranth RAT en emplazamiento de Amaranth Loader que aprovecha un bot de Telegram codificado para C2.
Por otra parte de implementar técnicas antidepuración y antivirus para resistir el disección y la detección, RAT admite los siguientes comandos:
- /start, para remitir una repertorio de procesos en ejecución desde la máquina infectada al bot
- /screenshot, para capturar y subir una captura de pantalla
- /shell, para ejecutar un comando específico en la máquina infectada y extraer la salida
- /descargar, para descargar un archivo específico de la máquina infectada
- /upload, para cargar un archivo a la máquina infectada
Es más, la infraestructura C2 está protegida por Cloudflare y está configurada para aceptar tráfico solo de direcciones IP adentro del país o países específicos a los que se dirige cada operación. La actividad todavía ejemplifica cómo los actores de amenazas sofisticados utilizan como armas la infraestructura legítima y confiable para ejecutar ataques dirigidos sin dejar de tratar de guisa clandestina.
Los vínculos de Amaranth-Dragon con APT41 surgen de superposiciones en el atarazana de malware, aludiendo a una posible conexión o fortuna compartidos entre los dos grupos. Vale la pena señalar que los actores de amenazas chinos son conocidos por compartir herramientas, técnicas e infraestructura.
“Por otra parte, el estilo de avance, como la creación de nuevos hilos adentro de las funciones de exportación para ejecutar código taimado, refleja fielmente las prácticas establecidas de APT41”, afirmó Check Point.
“Las marcas de tiempo de compilación, los tiempos de campaña y la mandato de infraestructura apuntan a un equipo disciplinado y con buenos fortuna que opera en la zona UTC+8 (hora unificado de China). En conjunto, estas superposiciones técnicas y operativas sugieren fuertemente que Amaranth-Dragon está estrechamente vinculado o es parte del ecosistema APT41, y continúa con los patrones establecidos de focalización y avance de herramientas en la región”.
Mustang Panda ofrece la reforma PlugX en una nueva campaña
La divulgación se produce cuando la empresa de ciberseguridad Dream Research Labs, con sede en Tel Aviv, detalló una campaña orquestada por otro liga de estado-nación chino identificado como Mustang Panda que se ha dirigido a funcionarios involucrados en la diplomacia, las elecciones y la coordinación internacional en múltiples regiones entre diciembre de 2025 y mediados de enero de 2026. A la actividad se le ha asignado el nombre Diplomacia PlugX.
“En emplazamiento de explotar las vulnerabilidades del software, la operación se basó en la suplantación y la confianza”, dijo la compañía. “Las víctimas fueron atraídas a inaugurar archivos que parecían ser resúmenes diplomáticos o documentos políticos vinculados a Estados Unidos. Desobstruir el archivo por sí solo fue suficiente para desencadenar el compromiso”.
Los documentos allanaron el camino para la implementación de una reforma personalizada de PlugX, un malware de larga data utilizado por el liga de piratas informáticos para compendiar datos de forma ajuste y permitir el paso persistente a hosts comprometidos. La reforma, indicación DOPLUGS, se ha detectado en la naturaleza desde al menos finales de diciembre de 2022.
Las cadenas de ataques son congruo consistentes en el sentido de que los archivos adjuntos ZIP maliciosos centrados en reuniones oficiales, elecciones y foros internacionales actúan como catalizador para detonar un proceso multiestatal. Internamente del archivo comprimido hay un único archivo LNK que, cuando se inicia, activa la ejecución de un comando de PowerShell que extrae y suelta un archivo TAR.
“La método integrada de PowerShell pesquisa recursivamente el archivo ZIP, lo lee como bytes sin procesar y extrae una carga útil que comienza en un desplazamiento de bytes fijo”, explicó Dream. “Los datos grabados se escriben en el disco mediante una invocación ofuscada del método WriteAllBytes. Los datos extraídos se tratan como un archivo TAR y se descomprimen utilizando la utilidad nativa tar.exe, lo que demuestra el uso consistente de binarios que viven de la tierra (LOLBins) a lo espléndido de toda la dependencia de infección”.
El archivo TAR contiene tres archivos:
- Un ejecutable legal firmado asociado con AOMEI Backupper es abandonado al secuestro del orden de búsqueda de DLL (“RemoveBackupper.exe”)
- Un archivo secreto que contiene la carga útil de PlugX (“backupper.dat”)
- Una DLL maliciosa que se descarga usando el ejecutable (“comn.dll”) para cargar PlugX
La ejecución del ejecutable legal muestra un documento PDF señuelo al legatario para darle la impresión a la víctima de que no pasa carencia, cuando, en segundo plano, DOPLUGS está instalado en el host.
“La correlación entre los acontecimientos diplomáticos reales y el momento en que se detectaron señuelos sugiere que es probable que persistan campañas análogas a medida que se desarrollen los acontecimientos geopolíticos”, concluyó Dream.
“Las entidades que operan en sectores diplomáticos, gubernamentales y orientados a políticas deberían, en consecuencia, considerar los métodos maliciosos de distribución de LNK y el secuestro de órdenes de búsqueda de DLL a través de ejecutables legítimos como amenazas persistentes y de ingreso prioridad en emplazamiento de tácticas aisladas o fugaces”.
