紫苋龙：中国背景APT组织利用WinRAR漏洞在东南亚开展间谍活动

中国背景APT组织“紫苋龙”利用WinRAR漏洞开展定向间谍活动

Check Point Research近期发现了一起此前未被披露的网络间谍活动，代号为**“紫苋龙”（Amaranth-Dragon），该活动被归因于与中国相关的威胁行为者。该行动在2025年全年持续活跃，主要针对东南亚地区的政府及执法机构**，包括柬埔寨，重点进行情报收集。

技术细节：WinRAR漏洞为攻击核心

此次攻击活动利用了CVE-2023-38831，这是WinRAR（6.23版本之前）中的一个严重漏洞，可通过特制的压缩文件实现远程代码执行（RCE）。攻击者利用该漏洞，诱骗受害者打开伪装成合法文档的恶意压缩文件，从而在目标系统上执行任意代码。

Check Point的分析显示，“紫苋龙”与APT41存在基础设施和战术重叠。APT41是一个知名的中国高级持续威胁（APT）组织，以国家支持的间谍活动及有财务动机的网络犯罪著称。尽管此次活动的完整范围仍在调查中，但初步发现表明，攻击者使用了以下手段：

• 定制恶意软件载荷，用于持久化驻留及数据窃取
• 鱼叉式钓鱼邮件作为主要传播途径
• “Living-off-the-land”（LotL）技术，以规避检测

影响及战略意义

此次攻击针对政府及执法机构，与中国历史上的网络间谍目标一致，特别是在具有地缘政治利益的地区。东南亚长期以来是APT活动的热点区域，APT41、Mustang Panda等组织频繁在此活动。

此次活动带来的主要风险包括：

• 敏感政府及情报数据被窃取
• 执法机构通信及调查遭到破坏
• 利用窃取的凭据或内部访问权限发起后续攻击

防御建议

高风险行业的安全团队应优先采取以下缓解措施：

1. 补丁管理：确保WinRAR升级至6.23或更高版本，以缓解CVE-2023-38831漏洞。
2. 邮件安全：部署高级威胁防护，检测并阻止含有压缩文件附件的鱼叉式钓鱼邮件。
3. 终端检测与响应（EDR）：监控异常进程执行（如从WinRAR启动的cmd.exe或powershell.exe）及横向移动。
4. 用户意识培训：培训员工在打开压缩文件前验证发件人真实性，即使邮件看似来自可信来源。
5. 网络分段：限制对敏感系统的访问，降低潜在入侵的影响。

Check Point Research将持续跟踪“紫苋龙”的活动，并随着调查进展发布更多细节。建议目标行业的组织保持警惕，并将任何可疑活动报告给相关网络安全机构。