Amaranth-Dragon: APT-группа атакует правительства Юго-Восточной Азии с помощью уязвимости в WinRAR

Кампании отличались высокой степенью целевого подбора жертв. Атаки были направлены на организации в Камбодже, Таиланде, Лаосе, Индонезии, Сингапуре и на Филиппинах. Социальная инженерия строилась вокруг актуальных местных политических событий, а названия вредоносных файлов-приманок часто имитировали официальные документы, повышая вероятность успешного компрометирования.

Одной из ключевых особенностей стала исключительная скорость адаптации злоумышленников. Менее чем через десять дней после публикации информации об уязвимости в архиваторе WinRAR (CVE-2025-8088) группа Amaranth-Dragon начала активно использовать её в своих атаках. Данная уязвимость класса path traversal позволяла злоумышленникам, создав специальный RAR-архив, добиться исполнения произвольного кода на системе жертвы, обеспечивая себе устойчивое присутствие (persistence).

Вредоносная цепочка обычно начиналась с фишингового письма, содержащего архив. Внутри архива находился легитимный исполняемый файл, который осуществлял боковую загрузку (DLL sideloading) вредоносной библиотеки, известной исследователям как Amaranth Loader. Этот загрузчик, в свою очередь, связывался с управляемой злоумышленниками инфраструктурой для получения зашифрованного полезного груза (payload).

Инфраструктура группы демонстрирует высокий уровень операционной безопасности. Командные серверы (Command and Control, C&C) были защищены с помощью Cloudflare и сконфигурированы таким образом, чтобы отвечать только на запросы с IP-адресов целевых стран. Этот механизм геоограничения минимизировал случайные заражения и значительно повышал скрытность операций. Для доставки финального груза часто использовались легальные файлообменные сервисы, например Dropbox, а также собственный сервер группы.

Основным финальным инструментом в большинстве кампаний выступал открытый фреймворк для управления доступом Havoc C2 Framework. Однако в сентябре 2025 года арсенал пополнился новым инструментом - удалённым троянцем (RAT), который исследователи назвали TGAmaranth RAT. Этот троянец использует Telegram-бота в качестве командного сервера и обладает функциями противодействия системам защиты конечных точек (EDR) и антивирусам (AV). Он способен выполнять команды, загружать и выгружать файлы, а также делать скриншоты с заражённой системы.

Анализ временных меток компиляции вредоносных файлов и времени проведения кампаний позволяет предположить, что группа работает в часовом поясе UTC+8, что соответствует стандартному пекинскому времени. Кроме того, исследователи обнаружили в коде загрузчика отладочные артефакты, включающие пути к файлам библиотеки Crypto++ с рабочих станций разработчиков, что также является косвенным техническим признаком.

Специалисты Check Point Research отмечают, что наблюдаемые совпадения в методах работы, целях и инструментарии между Amaranth-Dragon и APT-41 являются весьма значительными. Обе группы демонстрируют устойчивый интерес к государственным структурам Юго-Восточной Азии и используют схожие техники, такие как боковая загрузка DLL и специфические методы обфускации кода. Эти данные указывают на тесную связь между группировками или их принадлежность к одному экосистеме угроз.

Атаки Amaranth-Dragon служат наглядным примером того, как современные APT-группы оперативно интегрируют свежие уязвимости в свои кампании. Эксплуатация CVE-2025-8088 всего через несколько дней после публикации эксплойта подчёркивает критическую важность своевременного обновления ПО. Организациям, особенно в государственном секторе, необходимо применять комплексный подход к безопасности, включающий регулярное обновление программного обеспечения, повышение осведомлённости пользователей о фишинге и внедрение многоуровневой защиты для противодействия сложным угрозам.

IPv4

• 92.223.120.10
• 92.223.124.45
• 92.223.76.20
• 92.38.170.6
• 93.123.17.151

Domains

• dns.annasoft.gcdn.co
• phnompenhpost.net
• todaynewsfetch.com

URLs

• analytics.freshdatainsights.org/display/2025/uid_8oQRkgpvMSgmBFt9/WondershareApplicationManual.pdf
• catalogs.dailydownloads.net/archives/microsoft/office/@MrPresident_001_bot.rar
• daily.getfreshdata.com/dailynews/environment.enc
• daily.getfreshdata.com/dailynews/key.txt
• drive.easyboxsync.com/resources/channels/v7/cambodia64
• dropbox.com/scl/fi/csggj44n9255y3vsjhh0p/wsNativePush.zip?rlkey=oaffvs9si6wkc6j4ccushn133&st=osdl9su7&dl=1
• dropbox.com/scl/fi/ln6q8ip8k3dvx6xxyi71s/gs.rar?rlkey=w9vg1ehva23iitfdt5oh2x6cj&st=pwq86nfo&dl=1
• dropbox.com/scl/fi/rl6nbtvfzllgovofmbdsm/FSTR_HADR.zip?rlkey=bql8d9zl3gz1ctfftbby6lob7&st=sc98u44d&dl=1
• get.storagesync.biz/resources/newspaper/2018/forecast2018
• live.easyboxsync.com/resources/gup/notepad
• news.dostpagasa.com/llehs/jdkasdnkaf.enc
• pastebin.com/raw/2AGrG4i1
• pastebin.com/raw/ASXindCH
• pastebin.com/raw/Z7xayGZ8
• softwares.dailydownloads.net/products/microsoft/office/product-key/DB2F.activation.key
• updates.dailydownloads.net/docs/microsoft/office/Office_Activation_Manual_DB2F.pdf

SHA1

• 00351add8e0bca838e8dac40875b8ad5195805bd
• 19abb00922f4fb3d4b28713bc866a033a11c1567
• 1c1d53cb0f2a2d9b6d7ddb4ed55ed18880ae45e6
• 259819d1ae6421c2871f2ba0d128089036a0b29b
• 3823415ce9d1408a6595035e1cb634b2e261e005
• 3a647d54f0866496d6d71c7b8e9f928759d535fd
• 40550c3696581a00b976adddbbef145f2531770e
• 44ac2785b0352113ed12b856ec4507fa0b897adf
• 481d50d5ab7c0a41a7c4fabb01b5c50c8f4fabf2
• 53641ae0acb0fd986b30bdb1766086140abdc625
• 5670d4688b2ec8b414a96aa795d81b78580ae20b
• 582d275c4f10c8632294cadcf56df13729612de2
• 718c5846d3b903e3e9e2df9281f5e25b371465f2
• 733714767a49c00c5c825c8e689da0c3bb23fbfa
• 78066f82804410625f6cd02a913464e163c5613e
• 7ed0e7b80d4b5cddf10b0a6907755c607f37d7fe
• 803fb65a58808fd3752f9f76b5c75ca914196305
• 85a31476dd35ff67439a2cbb4dea40e3223f8eaf
• 92b8fa4d3e7f42036fc297a3b765e365e27cdce5
• 9905c672b9c32f7a09fbebb7b54e9371f08af354
• 9afadca9b2dad54004bd376dbee7e98c38dbdf50
• a80c9e1b3116f882d4f25e1934a2e890706ba44c
• b0b95528f5df65140540e473a5ac477d7f4dff87
• b4dc300031edf5dd4968028146b0d608bdd975c5
• b93db4606ab2233a6d48b9658ab7ca432ba93985
• c54a68d6bcc6d04ff08ad9619706e54923a20248
• c582718d37e9563f019e3ef78e736a0282203371
• ccd6e41f343ed719ac61c05d0435a3c3bfd67d2a
• cd949663598c49141a98b438cf408113602e5c19
• d70bad36a4060f93a3c5c9092bbf299c463a1451
• d751647a2c831b4e20aba2aab9de7feb9c6a9e7d
• d80edb2d04670d304713b148d6a721498f842376
• ddea99cb2db5e95552dccc8804125f19b30af536
• e2520eb81665015778d915f0f0f749889a7fb1f5
• e34d7e8ba4bb949aa5c491b950ab30688d5dbadc
• e739b3cffbb94357390a0f451d8f4171fdb9200b
• e866edf14b208076d83417d9757056e7a12dca73
• ec61fd29b0ebc597847325a61aceac5eeab4ae2c
• ed0232814fe9adb9fe62e04c8982cebf5c5e79ab
• ff4e717f9fa54cbaadadf145433df4f8292c56c1

SHA256

• 8aacc30dac2ca9f41d7dd6d2913d94b0820f802bc04461ae65eb7cf70b53a8ab