Um novo grupo hacker chamado Amaranth Dragon, vinculado à campanha estatal chinesa APT41, explorou a vulnerabilidade
CVE-2025-8088
no WinRAR em ataques de espionagem contra órgãos governamentais e forças de segurança.
Os invasores combinaram ferramentas legítimas com um loader customizado, chamado Amaranth Loader, para entregar payloads criptografados a partir de servidores de comando e controle (C2) ocultos atrás da infraestrutura da Cloudflare.
Essa estratégia aumentou a precisão dos alvos e o sigilo das operações.
Segundo a empresa de cibersegurança Check Point, o Amaranth Dragon focou em organizações localizadas em Singapura, Tailândia, Indonésia, Camboja, Laos e Filipinas.
A vulnerabilidade
CVE-2025-8088
permite a escrita de arquivos maliciosos em locais arbitrários por meio do recurso Alternate Data Streams (ADS) do Windows.
Desde meados de 2025, diversos grupos já vinham explorando essa falha em ataques zero-day para garantir persistência, especialmente ao inserir malware na pasta de inicialização do sistema.
Um relatório recente do Google Threat Intelligence Group (GTIG) revelou que a
CVE-2025-8088
continua sendo explorada ativamente por várias ameaças, como RomCom, APT44, Turla e outros atores chineses ligados a campanhas maliciosas.
A Check Point identificou que o Amaranth Dragon começou a explorar essa falha em 18 de agosto de 2025, apenas quatro dias após o primeiro exploit funcional ser disponibilizado publicamente.
No entanto, o monitoramento do grupo remonta a março do mesmo ano, com múltiplas campanhas segmentadas a um ou dois países, utilizando geofencing rigoroso.
As iscas empregadas nas investidas evitavam temas genéricos, concentrando-se em eventos geopolíticos ou locais para atrair as vítimas.
Antes de agosto de 2025, os ataques do grupo usavam arquivos ZIP contendo arquivos .LNK e .BAT com scripts que descriptografavam e executavam o loader.
Com a disponibilidade do exploit para
CVE-2025-8088
, o grupo passou a colocar scripts maliciosos diretamente na pasta de inicialização.
Em alguns casos, criaram também uma chave de registro do tipo Run para garantir redundância na execução.
Esses mecanismos inicializam um executável assinado digitalmente que, por sua vez, executa o Amaranth Loader por meio da técnica de DLL sideloading.
O loader busca um payload criptografado em AES a partir de uma URL externa e o descriptografa na memória.
Na maioria das vezes, esse payload correspondia ao framework de pós-exploração Havoc C2, conhecido por ser usado em ataques desde pelo menos 2023 e presente em campanhas vinculadas ao malware ClickFix.
Para evitar tráfego fora das regiões-alvo, os servidores C2 por trás da Cloudflare foram configurados para aceitar conexões apenas de países específicos.
Mais recentemente, a Check Point detectou a implantação de uma nova ferramenta de acesso remoto, chamada TGAmaranth RAT, que utiliza um bot do Telegram para suas comunicações C2.
Esse RAT permite upload e download de arquivos, captura de screenshots e listagem dos processos em execução na máquina infectada.
Além disso, o TGAmaranth implementa diversas técnicas para evitar detecção, como proteção contra debugging, antivírus e soluções de endpoint detection and response (EDR).
Entre essas defesas, destaca-se a substituição da DLL ntdll.dll – biblioteca essencial do Windows para interações de baixo nível – por uma cópia limpa, sem hooks.
Diante da ampla exploração da vulnerabilidade
CVE-2025-8088
por diversos grupos, a recomendação para organizações é atualizar o WinRAR para a versão 7.13 ou superior (a mais recente é a 7.20), cujo patch corrige a falha.
A Check Point ressalta que as operações do Amaranth Dragon demonstram elevado nível técnico e disciplina operacional, com capacidade de adaptar táticas e infraestrutura para causar o máximo impacto nos alvos.
O relatório dos pesquisadores inclui indicadores de comprometimento (IoCs) para arquivos compactados, URLs, arquivos auxiliares e malwares usados nos ataques.
Também estão disponíveis regras YARA para auxiliar na detecção das investidas do Amaranth Dragon.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...