Amaranth-Dragon: China-gestützte APT nutzt WinRAR-Schwachstelle in Südostasien-Spionage
Check Point Research deckt eine neue Cyberspionage-Kampagne auf, die von China-verbundenen Akteuren durchgeführt wird. Die Gruppe nutzt die WinRAR-Schwachstelle CVE-2023-38831 für gezielte Angriffe auf Regierungs- und Strafverfolgungsbehörden.
China-gestützte APT Amaranth-Dragon nutzt WinRAR-Schwachstelle für gezielte Spionage
Forscher von Check Point Research haben eine bisher undokumentierte Cyberspionage-Kampagne identifiziert, die unter dem Namen Amaranth-Dragon läuft und mutmaßlich von China-verbundenen Threat Actors durchgeführt wird. Die Operation, die während des gesamten Jahres 2025 aktiv war, hat Regierungs- und Strafverfolgungsbehörden in Südostasien, darunter Kambodscha, ins Visier genommen, mit dem Ziel, nachrichtendienstliche Informationen zu sammeln.
Technische Details: WinRAR-Exploit im Fokus
Die Kampagne nutzt die kritische Schwachstelle CVE-2023-38831 in WinRAR (Versionen vor 6.23), die Remote Code Execution (RCE) durch speziell präparierte Archivdateien ermöglicht. Bei erfolgreicher Ausnutzung erlaubt die Lücke Angreifern, beliebigen Code auf dem System des Opfers auszuführen, indem Nutzer dazu verleitet werden, schädliche Archive zu öffnen, die als legitime Dokumente getarnt sind.
Laut der Analyse von Check Point weist Amaranth-Dragon infrastrukturelle und taktische Überschneidungen mit APT41 auf – einer bekannten chinesischen Advanced Persistent Threat (APT)-Gruppe, die sowohl für staatlich geförderte Spionage als auch für finanziell motivierte Cyberkriminalität bekannt ist. Obwohl das volle Ausmaß der Kampagne noch untersucht wird, deuten erste Erkenntnisse auf den Einsatz folgender Methoden hin:
- Maßgeschneiderte Malware-Payloads für Persistenz und Datenexfiltration
- Spear-Phishing-E-Mails als primären Angriffsvektor
- Living-off-the-Land (LotL)-Techniken zur Umgehung von Erkennungssystemen
Auswirkungen und strategische Implikationen
Die gezielte Auswahl von Regierungs- und Strafverfolgungsbehörden entspricht Chinas historischen Zielen in der Cyberspionage, insbesondere in geopolitisch relevanten Regionen. Südostasien ist seit langem ein Hotspot für APT-Aktivitäten, wobei Gruppen wie APT41, Mustang Panda und andere regelmäßig in der Region operieren.
Die wichtigsten Risiken dieser Kampagne umfassen:
- Diebstahl sensibler Regierungs- und Geheimdienstinformationen
- Kompromittierung von Kommunikationswegen und Ermittlungen der Strafverfolgungsbehörden
- Mögliche Folgeangriffe durch gestohlene Zugangsdaten oder interne Zugriffe
Empfehlungen für die Verteidigung
Sicherheitsteams in hochriskanten Sektoren sollten folgende Maßnahmen priorisieren:
- Patch-Management: Stellen Sie sicher, dass WinRAR auf Version 6.23 oder neuer aktualisiert wird, um CVE-2023-38831 zu schließen.
- E-Mail-Sicherheit: Setzen Sie erweiterte Schutzmechanismen ein, um Spear-Phishing-Angriffe – insbesondere mit Archivanhängen – zu erkennen und zu blockieren.
- Endpoint Detection and Response (EDR): Überwachen Sie ungewöhnliche Prozessausführungen (z. B.
cmd.exeoderpowershell.exe, die von WinRAR gestartet werden) sowie laterale Bewegungen im Netzwerk. - Nutzeraufklärung: Schulen Sie Mitarbeiter darin, die Authentizität von Absendern zu überprüfen, bevor sie Archivdateien öffnen – selbst wenn diese von vermeintlich vertrauenswürdigen Quellen stammen.
- Netzwerksegmentierung: Begrenzen Sie den Zugriff auf sensible Systeme, um die Auswirkungen möglicher Sicherheitsverletzungen zu minimieren.
Check Point Research verfolgt die Aktivitäten von Amaranth-Dragon weiterhin und wird bei Fortschritten in der Untersuchung weitere Details veröffentlichen. Organisationen in betroffenen Sektoren wird geraten, wachsam zu bleiben und verdächtige Vorfälle den zuständigen Cybersicherheitsbehörden zu melden.