- Amaranth Dragon, vinculado ao APT41, junta-se a grupos que exploram WinRAR CVE-2025-8088
- Os alvos incluem organizações em todo o Sudeste Asiático, usando carregadores personalizados e servidores mascarados pela Cloudflare
- Vulnerabilidade abusada desde meados de 2025 por vários atores estatais, com malware oculto por meio de fluxos de dados alternativos
Agora podemos adicionar o Amaranth Dragon à lista de atores patrocinados pelo Estado chinês que abusam da vulnerabilidade WinRAR recentemente descoberta.
Os pesquisadores de segurança Check Point disseram ter visto ataques vindos deste grupo, visando organizações em Cingapura, Tailândia, Indonésia, Camboja, Laos e Filipinas.
No final de janeiro de 2026, surgiram notícias de que o WinRAR, o icônico programa de arquivamento do Windows, continha uma vulnerabilidade de alta gravidade que permitia que os agentes de ameaças executassem código arbitrário em endpoints comprometidos. O bug foi descrito como uma falha de passagem de caminho, afetando as versões 7.12 e anteriores. É rastreado como CVE-2025-8088, com pontuação de gravidade de 8,4/10 (alta).
Quando a vulnerabilidade foi descoberta pela primeira vez, vários grupos de segurança alertaram que ela estava sendo abusada por vários agentes de ameaças – tanto patrocinados pelo Estado quanto de outros tipos. Agora, novos relatórios dizem que entre eles está Amaranth Dragon, um ator de ameaça supostamente ligado ao APT41. Este grupo está usando uma combinação de ferramentas legítimas e um carregador personalizado, que implanta cargas criptografadas de um servidor escondido atrás da infraestrutura Cloudflare.
Relatórios anteriores afirmavam que o RomCom, um grupo alinhado com o governo russo, abusou deste bug para implantar o NESTPACKER contra unidades militares ucranianas. Alguns pesquisadores também mencionaram APT44 e Turla, Carpathian e vários atores chineses que estavam descartando o malware POISONIVY.
GoogleGrupo de Inteligência de Ameaças (GTIG), o grupo de segurança cibernética braço que rastreia principalmente invasores patrocinados pelo Estado, disse que os primeiros sinais de abuso foram vistos em meados de julho de 2025. Desde então, os hackers têm usado o recurso Alternate Data Streams (ADS) no WinRAR para escrever malware para locais arbitrários em dispositivos de destino. Aparentemente, o Amaranth Dragon começou a usar esse bug em meados de agosto do ano passado, poucos dias depois que a primeira exploração funcional foi tornada pública.
“Embora o usuário normalmente visualize um documento falso, como um PDF, dentro do arquivo, também existem entradas ADS maliciosas, algumas contendo uma carga oculta, enquanto outras são dados fictícios”, disse o Google.
Através BipandoComputador
O melhor antivírus para todos os orçamentos
Siga o TechRadar no Google Notícias e adicione-nos como fonte preferencial para receber notícias, análises e opiniões de especialistas em seus feeds. Certifique-se de clicar no botão Seguir!
E é claro que você também pode Siga o TechRadar no TikTok para notícias, análises, unboxings em formato de vídeo e receba atualizações regulares nossas em WhatsApp também.