Abra el archivo y quedará bajo vigilancia: el veterano WinRAR vuelve a fallar a los funcionarios públicos
Intrusos planean permanecer mucho tiempo en los altos cargos
En 2025 aumentó notablemente la actividad de operaciones de ciberespionaje en el sudeste asiático, camufladas como comunicaciones relacionadas con la política local y con acontecimientos en el ámbito de la seguridad. Esa vinculación con la agenda actual multiplica las probabilidades de que los destinatarios abran archivos adjuntos maliciosos y desencadenen la cadena de infección.
Los analistas de Check Point identificaron un clúster hasta entonces no descrito denominado Amaranth-Dragon y lo vincularon con el ecosistema APT41. Entre los objetivos figuraban organismos estatales y fuerzas del orden de Camboya, Tailandia, Laos, Indonesia, Singapur y Filipinas. Se señala que las operaciones eran de objetivo muy concreto y estaban diseñadas para asentarse de forma prolongada en la infraestructura con el fin de recopilar inteligencia.
Un elemento clave de las campañas fue el uso de la vulnerabilidad CVE-2025-8088 en WinRAR, que permitía ejecutar código arbitrario al abrir archivos especialmente preparados. La explotación comenzó a registrarse aproximadamente ocho días después de la divulgación pública de la vulnerabilidad en agosto de 2025, lo que, según los autores del informe, indica un alto nivel de preparación por parte de los atacantes.
El método primario de entrega aún no se ha establecido, pero el tipo de cebos relacionados con temas políticos, económicos y militares apunta a correos de phishing dirigidos. Los archivos maliciosos se alojaron en conocidas plataformas en la nube, incluido Dropbox, para reducir las sospechas y eludir las medidas de perímetro.
Dentro del archivo RAR había un conjunto de archivos entre los que se encontraba una DLL maliciosa identificada como Amaranth Loader. Se ejecutaba mediante carga de DLL, tras lo cual el cargador se conectaba a un servidor externo para obtener una clave de cifrado, descifraba el siguiente componente desde otra dirección y lo ejecutaba directamente en memoria. Como carga final se empleó el marco de control abierto Havoc. Se observaron similitudes con las herramientas DodgeBox, DUSTPAN y DUSTTRAP, que anteriormente se habían vinculado con APT41.
Las primeras variantes, detectadas en marzo de 2025, se basaban en archivos ZIP con accesos directos de Windows y archivos BAT, que ayudaban a descifrar y ejecutar Amaranth Loader mediante el mismo mecanismo de carga de DLL. Un esquema similar se registró también a finales de octubre de 2025, cuando los cebos estaban relacionados con la Guardia Costera de Filipinas.
En una operación separada contra Indonesia a principios de septiembre de 2025 se usó un archivo RAR protegido por contraseña desde Dropbox, pero ya para entregar otra herramienta, el troyano de acceso remoto TGAmaranth. Este troyano empleaba un bot de Telegram con identificador fijo para el control y soportaba comandos con funciones claras, entre ellos volcar la lista de procesos, tomar capturas de pantalla, ejecutar comandos de la consola, así como cargar y descargar archivos. Para complicar el análisis se utilizaron técnicas anti-depuración y de evasión de defensas.
La infraestructura de mando se ocultó tras Cloudflare, y el acceso a los servidores se limitó de forma que sólo aceptaran tráfico desde rangos IP de los países elegidos para cada operación. En Check Point consideran que las coincidencias en las herramientas, el estilo de desarrollo y la gestión de la infraestructura apuntan a una relación estrecha entre Amaranth-Dragon y APT41.