Cluster ligado ao ecossistema APT41 usou arquivos RAR e ZIP com iscas políticas para carregar malware por DLL side-loading, executar payloads em memória e restringir infraestrutura a países-alvo.
| Componente | RARLAB WinRAR afetado por CVE-2025-8088, arquivos RAR/ZIP maliciosos, Amaranth Loader, TGAmaranth RAT e payload Havoc. |
| Vetor | Arquivos compactados com iscas políticas, econômicas, militares ou diplomáticas, provavelmente distribuídos por spear-phishing e hospedados em plataformas conhecidas como Dropbox. |
| Impacto | Execução arbitrária de código ao abrir arquivo especialmente preparado, persistência no host, carregamento de payload em memória e controle remoto por C2. |
| Prioridade | Aplicar a correção do WinRAR, bloquear abertura de arquivos compactados não confiáveis, monitorar DLL side-loading e revisar telemetria de endpoints governamentais expostos. |
| Alvos | Órgãos governamentais e de aplicação da lei no Camboja, Tailândia, Laos, Indonésia, Singapura e Filipinas. |
| Artefatos | Uso de DLL maliciosa carregada por side-loading, URLs separadas para chave de criptografia e payload criptografado, infraestrutura protegida por Cloudflare e C2 restrito por país. |
Amaranth-Dragon é um cluster de atividade associado a interesses chineses e ligado por sobreposições técnicas ao ecossistema APT41. A atividade observada ao longo de 2025 teve foco em espionagem contra órgãos governamentais e forças de aplicação da lei no Sudeste Asiático, com alvos no Camboja, Tailândia, Laos, Indonésia, Singapura e Filipinas. As campanhas foram descritas como estreitas e controladas, com infraestrutura preparada para interagir apenas com vítimas localizadas nos países selecionados. Esse desenho reduz exposição operacional, dificulta coleta por pesquisadores fora da região e indica intenção de manter persistência para coleta de inteligência geopolítica.
A operação combinou iscas contextualizadas com eventos políticos, decisões governamentais e temas regionais de segurança. Em vez de campanhas amplas, os operadores alinharam arquivos maliciosos a assuntos familiares para os destinatários, aumentando a chance de abertura do conteúdo. A cadeia mais relevante abusou da vulnerabilidade CVE-2025-8088 no RARLAB WinRAR, uma falha já corrigida que permite execução arbitrária de código quando a vítima abre arquivos RAR especialmente criados. A exploração foi observada cerca de oito dias após a divulgação pública da falha em agosto de 2025, o que mostra rápida operacionalização por parte do grupo.
O objetivo técnico não se limitava à execução inicial. As amostras analisadas carregavam um componente chamado Amaranth Loader por DLL side-loading, técnica recorrente em operações ligadas a grupos chineses. Depois da execução, o loader buscava uma chave de criptografia em um servidor externo, recuperava um payload criptografado em outra URL e o executava diretamente em memória. O payload final identificado nessa cadeia foi o framework de comando e controle Havoc, usado para manter controle interativo sobre o host comprometido sem depender de gravação ostensiva de binários finais em disco.
A cadeia baseada em CVE-2025-8088 começa com um arquivo RAR malicioso. O vetor inicial exato não foi confirmado, mas a natureza altamente direcionada, o uso de temas políticos, econômicos e militares regionais e a hospedagem em plataformas como Dropbox sustentam a hipótese de spear-phishing. O uso de infraestrutura conhecida reduz atrito com controles de perímetro e aumenta a plausibilidade do arquivo para o destinatário. A abertura do arquivo especialmente preparado aciona a condição explorável no WinRAR e permite que código controlado pelo operador seja executado no ambiente da vítima.
Após a execução inicial, a cadeia usa DLL side-loading. Esse método depende de um executável legítimo ou esperado pelo sistema carregando uma biblioteca maliciosa no lugar de uma biblioteca confiável. No caso do Amaranth Loader, a DLL atua como estágio intermediário: ela não concentra toda a funcionalidade final, mas coordena a obtenção de uma chave externa e de um payload criptografado separado. Essa separação dificulta análise estática, reduz valor de uma amostra isolada e permite que os operadores desativem ou alterem partes da infraestrutura sem trocar todo o pacote entregue às vítimas.
Campanhas anteriores, detectadas em março de 2025, usaram arquivos ZIP contendo atalhos Windows LNK e scripts BAT para descriptografar e executar o Amaranth Loader com DLL side-loading. Sequência semelhante voltou a aparecer no fim de outubro de 2025, em operação com iscas relacionadas à Guarda Costeira das Filipinas. Em setembro de 2025, contra alvos na Indonésia, os operadores adotaram um RAR protegido por senha hospedado no Dropbox para entregar o TGAmaranth RAT, um trojan de acesso remoto funcional que usava um bot do Telegram embutido como canal de C2.
O TGAmaranth RAT implementava técnicas antidepuração e antiantivírus para dificultar análise e detecção. As capacidades descritas incluem enumeração de processos do sistema infectado e execução remota de comandos com retorno do resultado ao operador. Essas funções tornam o implante útil para reconhecimento pós-comprometimento, validação de acesso e coleta operacional, mas a informação disponível não sustenta afirmar exfiltração ampla, movimentação lateral ou roubo de dados em todos os casos. O impacto confirmado é controle remoto do host, persistência e execução de ações comandadas pelo C2.
A superfície principal envolve estáções Windows de usuários em órgãos governamentais, entidades de segurança pública, diplomacia e setores relacionados a decisões políticas ou militares no Sudeste Asiático. O ponto de contato com a vítima é o tratamento de arquivos compactados, especialmente RAR e ZIP, em fluxos de trabalho nos quais documentos recebidos de fontes externas possam parecer legítimos. Ambientes que permitem abertura direta de anexos ou downloads de plataformas de armazenamento em nuvem ficam mais expostos, principalmente quando os usuários atuam em áreas sensíveis e recebem comunicações temáticas sobre eventos regionais.
A falha CVE-2025-8088 afeta o WinRAR e foi usada depois de sua divulgação pública. O contexto informa que a vulnerabilidade já foi corrigida, mas não fornece ramos ou versões específicos. Portanto, a ação defensiva deve se concentrar em confirmar que todas as instalações do WinRAR foram atualizadas para uma versão corrigida pelo fornecedor, sem assumir cobertura apenas por atualização do sistema operacional. Como arquivos RAR podem ser processados por usuários fora de fluxos centralizados, inventários de software e EDR devem ser usados para localizar instalações manuais ou legadas.
A atividade também inclui uma campanha separada atribuída a Mustang Panda, voltada a diplomacia, eleições e coordenação internacional entre dezembro de 2025 e meados de janeiro de 2026. Nessa cadeia, arquivos ZIP com temas de reuniões oficiais, eleições e fóruns internacionais continham um LNK que acionava lógica PowerShell ofuscada, extraía dados de um offset fixo dentro do ZIP e tratava o material extraído como arquivo TAR por meio de utilitário nativo do Windows. O resultado era a instalação do DOPLUGS, variante personalizada do PlugX observada desde pelo menos o fim de dezembro de 2022.
A campanha Mustang Panda usou um executável legítimo assinado associado ao AOMEI Backupper, identificado como RemoveBackupper.exe, vulnerável a sequestro de ordem de busca de DLL. A DLL maliciosa comn.dll era carregada para instalar PlugX enquanto um PDF de fachada era exibido ao usuário. Esse encadeamento reforça que LNK malicioso, DLL search-order hijacking e uso de binários legítimos continuam sendo superfície de alto valor em organizações com exposição diplomática e governamental.
- Estáções Windows que processam arquivos RAR ou ZIP recebidos de fontes externas.
- Instalações do WinRAR sem a correção para
CVE-2025-8088. - Usuários de órgãos governamentais, aplicação da lei, diplomacia, eleições e política regional.
- Ambientes que permitem downloads de Dropbox ou armazenamento em nuvem sem inspeção de conteúdo compactado.
- Hosts capazes de executar LNK, BAT, PowerShell, TAR nativo e binários legítimos vulneráveis a side-loading.
A investigação deve priorizar eventos de abertura de arquivos compactados seguidos por criação de processos incomuns, carregamento de DLL fora de diretórios esperados e conexões externas em sequência. Para a cadeia Amaranth-Dragon, um sinal importante é a combinação de arquivo RAR ou ZIP temático com execução de um binário legítimo que carrega DLL não esperada, seguida por comunicação para obter chave de criptografia e payload separado. Como o payload final pode ser executado em memória, a telemetria de EDR precisa correlacionar carregamento de módulos, alocação de memória executável e conexões de rede posteriores.
A infraestrutura adversária foi configurada para aceitar tráfego apenas de endereços IP nos países visados e foi protegida por Cloudflare. Isso reduz a utilidade de testes externos simples e torna a telemetria local das vítimas mais importante. Bloqueios ou respostas vazias fora da região não devem ser interpretados como ausência de infraestrutura. Equipes de defesa em redes governamentais devem preservar logs de proxy, DNS, EDR e autenticação para reconstruir a cadeia entre recebimento do arquivo, execução inicial, carregamento de DLL e sessão C2.
Para a cadeia com TGAmaranth RAT, a defesa deve procurar comportamento compatível com comunicação automatizada a bot do Telegram embutido, enumeração de processos e execução remota de comandos. Não é necessário publicar ou distribuir comandos observados para hunting; o valor defensivo está em identificar processos de usuário iniciando comunicações incomuns, telemetria de console ou shell sem interação legítima e respostas de rede associadas a automação de bot. A presença de anti-debugging e evasão de antivírus também deve ser tratada como indicador comportamental quando o EDR registrar tentativas de inspeção do ambiente.
Na atividade Mustang Panda, os sinais incluem ZIP com LNK único, LNK acionando PowerShell ofuscado, extração de conteúdo a partir de bytes embutidos no próprio ZIP, uso do utilitário TAR nativo e execução de RemoveBackupper.exe carregando comn.dll. A exibição de PDF de fachada após execução não deve encerrar a análise: esse padrão pode mascarar instalação paralela de DOPLUGS ou PlugX. A correlação entre tema do documento e eventos diplomáticos reais também deve orientar triagem de anexos recebidos por usuários de alto risco.
- Abertura de RAR ou ZIP seguida por execução de binário legítimo e carregamento de DLL em diretório não padrão.
- Processos relacionados a arquivos compactados iniciando conexões externas logo após a abertura do arquivo.
- Busca de chave externa e payload criptografado em URLs separadas antes de execução em memória.
- Execução de LNK que aciona PowerShell ofuscado e uso do utilitário TAR nativo em estáção de usuário.
- Carregamento de
comn.dllporRemoveBackupper.exee exibição simultânea de PDF de fachada. - Comunicação de host de usuário com serviços de bot do Telegram em contexto incompatível com uso corporativo.
A primeira medida é garantir que o WinRAR esteja atualizado com correção para CVE-2025-8088 em todos os endpoints, inclusive instalações fora do catálogo corporativo. Como a exploração depende da abertura de arquivos especialmente preparados, controles de e-mail, proxy e armazenamento em nuvem devem reforçar inspeção de RAR e ZIP, quarentena de arquivos protegidos por senha quando o fluxo de negócio permitir e análise em sandbox para anexos recebidos por usuários sensíveis. A mitigação também deve reduzir execução automática de LNK, BAT e scripts em diretórios temporários ou de download.
Controles de DLL side-loading exigem endurecimento de aplicação e visibilidade de cadeia de processos. Sempre que possível, permita apenas binários aprovados, monitore DLLs carregadas a partir de diretórios graváveis por usuário e alerte quando executáveis legítimos forem iniciados em caminhos incomuns. Para ambientes governamentais, diplomáticos e de segurança pública, a combinação de controle de aplicações, EDR com inspeção de memória e bloqueio de scripts ofuscados deve ser tratada como requisito operacional, não apenas como melhoria de detecção.
A resposta a um alerta compatível com essa atividade deve preservar o arquivo compactado original, o diretório de extração, módulos carregados, árvore de processos, conexões de rede, cache de navegador e logs de proxy. Em seguida, o host deve ser isolado para impedir continuidade de C2, e credenciais usadas no equipamento devem ser avaliadas conforme privilégio e exposição. Como a informação disponível sustenta persistência e controle remoto, mas não confirma exfiltração em todos os casos, a investigação deve validar escopo com base em telemetria real antes de declarar vazamento ou movimentação lateral.
Para a cadeia Mustang Panda, bloqueie ou restrinja execução de LNK recebidos por e-mail e trate arquivos ZIP com um único LNK como alto risco. Regras de detecção devem correlacionar LNK, PowerShell ofuscado, extração de TAR e carregamento suspeito de DLL por binário legítimo. Organizações dos setores diplomático, governamental e de políticas públicas devem revisar campanhas recentes vinculadas a reuniões, eleições e fóruns internacionais, pois o alinhamento temporal com eventos reais foi parte central da engenharia social observada.
- Atualizar todas as instalações do WinRAR para versão corrigida contra
CVE-2025-8088. - Inspecionar e isolar arquivos RAR/ZIP externos, especialmente os protegidos por senha ou ligados a temas políticos e diplomáticos.
- Bloquear ou alertar execução de LNK, BAT e PowerShell ofuscado a partir de diretórios de usuário, download e temporários.
- Monitorar DLL side-loading por binários legítimos, com atenção a carregamento de bibliotecas em caminhos graváveis por usuário.
- Isolar hosts com sinais de Amaranth Loader, TGAmaranth RAT, Havoc, PlugX ou DOPLUGS antes de iniciar coleta forense completa.
- Revisar logs de proxy, DNS, EDR e autenticação para identificar obtenção de chave externa, payload criptografado e sessões C2 restritas por país.
0 Comentários