Em 2025 e 2026, a Check Point Research revelou campanhas sofisticadas de espionagem cibernética conduzidas pelo grupo Amaranth-Dragon, direcionadas principalmente a agências governamentais no Sudeste Asiático. As campanhas se destacam pelo uso de iscas políticas e pela exploração de uma vulnerabilidade crítica no WinRAR, identificada como CVE-2025-8088, que permite execução remota de código em sistemas desatualizados.
Os ataques mostram como grupos avançados combinam engenharia social com técnicas de infiltração silenciosa, utilizando plataformas legítimas como Dropbox e Telegram para distribuição de malware e comando remoto, evidenciando um nível elevado de planejamento e adaptação.
O papel da vulnerabilidade CVE-2025-8088 no WinRAR
A CVE-2025-8088 é uma falha crítica no WinRAR que permite a execução de código arbitrário quando usuários abrem arquivos compactados maliciosos. Após sua divulgação pública, grupos de espionagem como o Amaranth-Dragon adotaram a exploração de forma rápida, demonstrando a importância de manter softwares de compressão sempre atualizados.
O problema está no tratamento inadequado de arquivos compactados que contêm links simbólicos e DLLs externas. Quando explorada, a vulnerabilidade permite que código malicioso seja carregado silenciosamente no sistema, abrindo caminho para roubo de dados, monitoramento de atividades e persistência prolongada sem detecção.
Anatomia do ataque: Do Dropbox ao controle pelo Telegram
O uso de plataformas legítimas como isca
Uma das estratégias do Amaranth-Dragon é utilizar serviços confiáveis como Dropbox para hospedar arquivos maliciosos. Essa técnica ajuda a evitar filtros de segurança tradicionais e aumenta a probabilidade de que usuários baixem os arquivos sem suspeitas. Normalmente, os documentos são disfarçados como relatórios políticos ou arquivos governamentais sensíveis, alinhados com campanhas de engenharia social.
O carregador Amaranth e o TGAmaranth RAT
Após a abertura do arquivo malicioso, um carregador chamado Amaranth é instalado silenciosamente no sistema. Esse carregador utiliza DLL Sideloading, uma técnica que se aproveita de bibliotecas legítimas presentes no sistema, para executar o malware principal sem acionar alertas de antivírus.
O malware principal, conhecido como TGAmaranth RAT, se comunica com os operadores através do Telegram, funcionando como um canal de comando e controle (C2). Essa abordagem permite que o grupo monitore atividades, extraia arquivos sensíveis e mantenha persistência em sistemas comprometidos sem depender de infraestrutura própria, dificultando a detecção.
Conexão com o APT41 e a campanha PlugX Diplomacy
Análises técnicas mostram que o Amaranth-Dragon compartilha ferramentas e táticas com o ecossistema APT41, grupo chinês conhecido por ataques direcionados a governos e empresas. Um exemplo é a campanha chamada PlugX Diplomacy, que utiliza técnicas de sequestro da ordem de busca de DLL para infiltrar malware silenciosamente.
Essa conexão evidencia não apenas a sofisticação do Amaranth-Dragon, mas também um padrão de espionagem alinhado a interesses estratégicos regionais, reforçando a necessidade de vigilância constante em ambientes governamentais e corporativos.
Como se proteger de ataques de espionagem cibernética
Para reduzir riscos relacionados à falha no WinRAR e campanhas de espionagem como as do Amaranth-Dragon, algumas medidas práticas são essenciais:
- Atualize o WinRAR: Sempre use a versão mais recente do software, pois correções de vulnerabilidades críticas são aplicadas rapidamente após identificação.
- Cuidado com arquivos LNK e RAR em nuvens: Evite abrir anexos de fontes desconhecidas ou não verificadas, mesmo que hospedados em serviços confiáveis como Dropbox ou Google Drive.
- Monitore a rede e o tráfego de aplicativos: Alertas anormais em sistemas de monitoramento podem indicar presença de RATs ou conexões C2 suspeitas.
- Educação e conscientização: Treine usuários para identificar iscas políticas e engenharia social, reduzindo a chance de clique em arquivos maliciosos.
A segurança digital depende de práticas preventivas e de atualização contínua, principalmente diante de ameaças avançadas como as atribuídas ao Amaranth-Dragon.
Chamada à ação
Verifique imediatamente a versão do seu WinRAR e compartilhe este alerta com colegas, familiares e equipes de TI. A prevenção é a melhor defesa contra espionagem cibernética baseada em vulnerabilidades como a CVE-2025-8088.