Amaranth-Dragon: APT respaldado por China explota fallo de WinRAR en espionaje en el Sudeste Asiático

Amaranth-Dragon: APT respaldado por China explota vulnerabilidad de WinRAR en espionaje dirigido

Investigadores de Check Point Research han identificado una campaña de ciberespionaje previamente no documentada, denominada Amaranth-Dragon, atribuida a actores de amenazas vinculados a China. La operación, activa durante 2025, ha tenido como objetivo a agencias gubernamentales y de aplicación de la ley en el Sudeste Asiático, incluyendo Camboya, con un enfoque en la recopilación de inteligencia.

Detalles técnicos: Explotación de WinRAR en el centro de la campaña

La campaña aprovecha la vulnerabilidad CVE-2023-38831, un fallo crítico en WinRAR (versiones anteriores a la 6.23) que permite la ejecución remota de código (RCE) mediante archivos de archivo especialmente diseñados. Cuando se explota, esta vulnerabilidad permite a los atacantes ejecutar código arbitrario en el sistema de la víctima al engañar a los usuarios para que abran archivos maliciosos disfrazados de documentos legítimos.

El análisis de Check Point indica que Amaranth-Dragon comparte infraestructura y solapamientos tácticos con APT41, un grupo avanzado de amenazas persistentes (APT) chino bien documentado, conocido tanto por el espionaje patrocinado por el estado como por el cibercrimen con motivaciones financieras. Aunque el alcance completo de la campaña sigue bajo investigación, los hallazgos iniciales sugieren el uso de:

• Cargas útiles de malware personalizadas diseñadas para la persistencia y la exfiltración de datos
• Correos electrónicos de spear-phishing como vector principal de entrega
• Técnicas de living-off-the-land (LotL) para evadir la detección

Impacto y implicaciones estratégicas

El enfoque en entidades gubernamentales y de aplicación de la ley se alinea con los objetivos históricos de ciberespionaje de China, particularmente en regiones de interés geopolítico. El Sudeste Asiático ha sido durante mucho tiempo un punto crítico para la actividad de APT, con grupos como APT41, Mustang Panda y otros operando frecuentemente en la región.

Los principales riesgos que plantea esta campaña incluyen:

• Robo de datos sensibles gubernamentales e de inteligencia
• Compromiso de comunicaciones e investigaciones de las fuerzas de seguridad
• Posibles ataques posteriores que aprovechen credenciales robadas o acceso interno

Recomendaciones para la defensa

Los equipos de seguridad en sectores de alto riesgo deben priorizar las siguientes medidas de mitigación:

1. Gestión de parches: Asegurar que WinRAR esté actualizado a la versión 6.23 o posterior para mitigar la vulnerabilidad CVE-2023-38831.
2. Seguridad en el correo electrónico: Implementar protección avanzada contra amenazas para detectar y bloquear intentos de spear-phishing, especialmente aquellos que contengan archivos adjuntos de tipo archivo.
3. Detección y respuesta en endpoints (EDR): Monitorear la ejecución inusual de procesos (por ejemplo, cmd.exe o powershell.exe iniciados desde WinRAR) y el movimiento lateral.
4. Concienciación del usuario: Capacitar a los empleados para verificar la autenticidad del remitente antes de abrir archivos de tipo archivo, incluso de fuentes aparentemente confiables.
5. Segmentación de red: Limitar el acceso a sistemas sensibles para reducir el impacto de posibles brechas.

Check Point Research continúa rastreando las actividades de Amaranth-Dragon y publicará más detalles a medida que avance la investigación. Las organizaciones en sectores objetivo deben mantenerse vigilantes e informar cualquier actividad sospechosa a las autoridades relevantes de ciberseguridad.