VOLTAR ÀS NOTÍCIAS
Última Hora

Amaranth-Dragon: APT Chinesa Explora Falha no WinRAR em Espionagem no Sudeste Asiático

3 min de leituraFonte: The Hacker News

Pesquisadores da Check Point identificam campanha de ciberespionagem inédita, atribuída a atores ligados à China, explorando a vulnerabilidade CVE-2023-38831 no WinRAR para atingir agências governamentais no Sudeste Asiático.

APT Chinesa Amaranth-Dragon Explora Vulnerabilidade no WinRAR em Operação de Espionagem

A Check Point Research identificou uma campanha de ciberespionagem inédita — batizada de Amaranth-Dragon — atribuída a atores de ameaças ligados à China. A operação, ativa ao longo de 2025, teve como alvo agências governamentais e de aplicação da lei em países do Sudeste Asiático, incluindo a Camboja, com foco na coleta de inteligência.

Detalhes Técnicos: Exploração da Falha no WinRAR como Vetor Principal

A campanha explora a CVE-2023-38831, uma vulnerabilidade crítica no WinRAR (versões anteriores à 6.23) que permite execução remota de código (RCE) por meio de arquivos compactados especialmente criados. Quando explorada, a falha possibilita que os atacantes executem código arbitrário no sistema da vítima, enganando usuários para que abram arquivos maliciosos disfarçados de documentos legítimos.

A análise da Check Point indica que a Amaranth-Dragon compartilha infraestrutura e sobreposições táticas com o APT41, um grupo avançado de ameaças persistentes (APT) chinês bem documentado, conhecido tanto por espionagem patrocinada pelo Estado quanto por cibercrimes com motivação financeira. Embora o escopo completo da campanha ainda esteja sob investigação, as descobertas iniciais sugerem o uso de:

  • Cargas maliciosas personalizadas, projetadas para persistência e exfiltração de dados
  • E-mails de spear-phishing como principal vetor de entrega
  • Técnicas de living-off-the-land (LotL) para evadir detecção

Impacto e Implicações Estratégicas

O direcionamento a entidades governamentais e de aplicação da lei está alinhado com os objetivos históricos de ciberespionagem da China, especialmente em regiões de interesse geopolítico. O Sudeste Asiático tem sido há muito tempo um ponto crítico para atividades de APTs, com grupos como APT41, Mustang Panda e outros operando frequentemente na região.

Os principais riscos associados a esta campanha incluem:

  • Roubo de dados governamentais e de inteligência sensíveis
  • Comprometimento de comunicações e investigações de aplicação da lei
  • Potenciais ataques subsequentes, explorando credenciais roubadas ou acesso interno

Recomendações para Defesa

Equipes de segurança em setores de alto risco devem priorizar as seguintes medidas de mitigação:

  1. Gerenciamento de Patches: Garantir que o WinRAR esteja atualizado para a versão 6.23 ou superior, a fim de mitigar a CVE-2023-38831.
  2. Segurança de E-mail: Implementar proteção avançada contra ameaças para detectar e bloquear tentativas de spear-phishing, especialmente aquelas contendo anexos em formato de arquivo compactado.
  3. Detecção e Resposta em Endpoints (EDR): Monitorar execuções incomuns de processos (como cmd.exe ou powershell.exe iniciados a partir do WinRAR) e movimentação lateral.
  4. Conscientização do Usuário: Treinar funcionários para verificar a autenticidade do remetente antes de abrir arquivos compactados, mesmo que pareçam provenientes de fontes confiáveis.
  5. Segmentação de Rede: Limitar o acesso a sistemas sensíveis para reduzir o impacto de possíveis violações.

A Check Point Research continua monitorando as atividades da Amaranth-Dragon e divulgará mais detalhes à medida que a investigação avançar. Organizações em setores visados são aconselhadas a manterem-se vigilantes e reportar qualquer atividade suspeita às autoridades de cibersegurança competentes.

Compartilhar

TwitterLinkedIn