Operações atribuídas ao grupo chinês usaram arquivos RAR maliciosos, carregador próprio, sideloading de DLL e cargas do Havoc Framework contra órgãos governamentais e forças policiais.
| Componente | Campanhas Amaranth-Dragon, Amaranth Loader, TGAmaranth RAT, WinRAR para Windows e cargas do Havoc Framework. |
| Vetor | Arquivos ZIP ou RAR temáticos, possivelmente entregues por e-mail, com scripts, atalhos LNK, sideloading de DLL e exploração de path traversal em CVE-2025-8088 para gravar scripts na pasta Startup. |
| Impacto | Execução indireta de código após reinicialização, persistência em Windows, execução de carga em memória, controle remoto via C&C com restrição geográfica e coleta de informação pessoal em campanha com RAT baseada em Telegram. |
| Prioridade | Bloquear extração insegura de arquivos RAR, atualizar WinRAR, inspecionar Startup e chaves Run, revisar execução de binários assinados em diretórios de usuário e caçar tráfego para domínios e serviços de hospedagem abusados. |
| Vulnerabilidade | CVE-2025-8088 é uma falha de path traversal no WinRAR para Windows que permite gravar arquivos fora do diretório de extração pretendido e preparar execução de código. |
| Artefatos | Windows Defender Definition Update.cmd, obs-browser-page.exe, libcef.dll, %appdata%\ZoomWorkspace\, C:\Users\Public\Documents\Microsoft\ e exportação maliciosa cef_api_hash. |
| IoCs | hxxps://softwares.dailydownloads[.]net/products/microsoft/office/product-key/DB2F.activation.key, hxxps://updates.dailydownloads[.]net/docs/microsoft/office/Office_Activation_Manual_DB2F.pdf, 8a7ee2a8e6b3476319a3a0d5846805fd25fa388c7f2215668bc134202ea093fa, 50855f0e3c7b28cbeac8ae54d9a8866ed5cb21b5335078a040920d5f9e386ddb, 7af238050b2750da760b2cf5053bcf58054bcf44e9af1617d8b7af3ed98d09c6 e a3805b24b66646c0cf7ca9abad502fe15b33b53e56a04489cfb64a238616a7bf. |
Amaranth-Dragon aparece como um conjunto de campanhas de espionagem direcionada contra países do Sudeste Asiático, com foco recorrente em entidades governamentais, forças policiais e temas ligados a eventos políticos ou administrativos locais. A atividade observada desde março de 2025 atingiu, entre outros alvos regionais, Camboja, Tailândia, Laos, Indonésia, Singapura e Filipinas. A seleção de temas, nomes de arquivos e janelas de operação indica preparação por campanha, não distribuição oportunista em larga escala.
A cadeia técnica combina engenharia social, arquivos compactados, execução por scripts, sideloading de DLL e comunicação com infraestrutura C&C com filtragem por país. Em parte das operações, o grupo adotou CVE-2025-8088, uma vulnerabilidade de path traversal no WinRAR para Windows, para posicionar um script na pasta Startup e obter execução após reinicialização. Em outras fases, a operação usou atalhos LNK, arquivos BAT ou CMD, carregadores próprios e payloads executados diretamente em memória.
O Amaranth Loader baixa uma chave AES de um local controlado ou de Pastebin, recupera uma carga criptografada de uma segunda URL, descriptografa o conteúdo e o executa sem gravar o payload final em disco. O payload mais recorrente foi o Havoc Framework, plataforma de C&C legítima em contextos autorizados de avaliação de segurança, mas reutilizada aqui para pós-exploração. Uma campanha separada na Indonésia implantou o TGAmaranth RAT, que usou bot do Telegram como canal de comando e controle, executou comandos remotos e acessou informação pessoal.
Nas campanhas anteriores à divulgação da vulnerabilidade, a entrega dependia de arquivos ZIP contendo scripts e atalhos disfarçados. Um exemplo inicial de 19 de março de 2025 usou o tema CNP_MFA_Meeting_Documents.zip, alinhado a possíveis interesses envolvendo a Polícia Nacional do Camboja e o Ministério das Relações Exteriores. Nessa fase, a execução ocorria por componentes dentro do arquivo compactado, com scripts responsáveis por acionar o carregador. Em 28 de abril de 2025, outra operação contra o Camboja usou versão atualizada do carregador e uma URL cujo caminho continha cambodia64, indicando segmentação explícita do país.
A partir de agosto de 2025, o fluxo passou a incluir exploração de CVE-2025-8088 em arquivos RAR. A falha permite que um arquivo malformado escreva conteúdo fora do diretório escolhido para extração. O operador pode abusar dessa condição para depositar um BAT ou CMD na pasta Startup do perfil de usuário. A execução não ocorre necessariamente no momento da abertura do arquivo; ela é obtida quando o Windows processa os itens de inicialização após reinicialização ou novo logon, o que reduz a visibilidade imediata do elo entre extração e comprometimento.
A campanha contra a Indonésia iniciada em 18 de agosto de 2025 usou o arquivo SK_GajiPNS_Kemenko_20250818.rar, tema compatível com decisão oficial sobre salário de servidores públicos em ministérios coordenadores. O arquivo explorava CVE-2025-8088 para gravar script malicioso na Startup e iniciar a persistência. A linha temporal é operacionalmente importante: a vulnerabilidade havia sido divulgada em 8 de agosto de 2025, um exploit público apareceu no GitHub em 14 de agosto de 2025 e a exploração na campanha foi observada em 18 de agosto de 2025.
No carregador principal, o primeiro estágio obtém uma chave AES a partir de Pastebin, de servidor do grupo ou, em alguns casos, de valor embutido no próprio binário. Em seguida, baixa o payload criptografado de uma segunda URL controlada e executa a carga em memória. Esse desenho separa material de configuração, chave e payload final, dificultando análise quando um desses elementos expira ou fica inacessível fora do país alvo. A infraestrutura por trás de Cloudflare aceitava conexões apenas de IPs pertencentes ao país ou aos países escolhidos para a operação; acessos de outras regiões recebiam HTTP 403 Forbidden.
A superfície primária envolve estáções Windows de usuários que recebem, baixam ou extraem arquivos compactados de origem não verificada. O risco é maior onde WinRAR para Windows permanece vulnerável a CVE-2025-8088, onde arquivos RAR chegam por canais externos sem detonação controlada e onde a criação de arquivos em Startup não é monitorada. Ambientes governamentais, unidades policiais, órgãos marítimos e equipes administrativas expostas a documentos temáticos foram usados como isca nas operações descritas.
A execução por sideloading também amplia a superfície para diretórios graváveis por usuário ou por processo comprometido. Na campanha mais recente contra a Guarda Costeira das Filipinas, a cadeia usou um arquivo ZIP com LNK disfarçado de PDF, um arquivo .vcredist.rar protegido por senha e extração para %appdata%\ZoomWorkspace\. O executável legítimo e assinado carregava uma DLL maliciosa, o Amaranth Loader, permitindo que a atividade se misturasse a processos aparentemente confiáveis. Em outra campanha, os arquivos obs-browser-page.exe e libcef.dll foram gravados em C:\Users\Public\Documents\Microsoft\winupdate_v{random_int_cur_time}\, com persistência por chave Run.
O uso de serviços legítimos de hospedagem, como Dropbox, Pastebin e possivelmente outros provedores, reduz a eficácia de bloqueios baseados apenas em reputação de domínio. Arquivos protegidos por senha criam um obstáculo adicional para mecanismos de varredura do provedor e para sandboxes que não conseguem extrair o conteúdo. A restrição geográfica do C&C ainda limita a recuperação de payload por pesquisadores e por plataformas automatizadas fora da região alvo.
- Estáções Windows com WinRAR vulnerável a
CVE-2025-8088e usuários com permissão para extrair arquivos em áreas do perfil. - Perfis de usuário com Startup sem monitoramento, incluindo criação de
BAT,CMDe atalhos após extração de RAR. - Diretórios graváveis usados para sideloading, como
%appdata%\ZoomWorkspace\eC:\Users\Public\Documents\Microsoft\. - Órgãos governamentais e forças policiais no Sudeste Asiático, com temas de campanha associados a eventos locais.
A caça deve começar pela correlação entre extração de arquivos compactados, criação de scripts em Startup e execução posterior no logon. Em endpoints, procure CMD, BAT ou LNK criados logo após interação com ZIP ou RAR, especialmente quando o caminho contém sequências de travessia ou quando o nome tenta imitar atualização do Windows, PDF institucional ou documento administrativo. A presença de Windows Defender Definition Update.cmd em local de inicialização é um indicador forte dentro da cadeia descrita.
Também é necessário inspecionar sideloading de DLL por executáveis assinados a partir de diretórios incomuns. obs-browser-page.exe executado de C:\Users\Public\Documents\Microsoft\winupdate_v...\ e carregando libcef.dll do mesmo diretório merece investigação imediata. O mesmo vale para execução a partir de %appdata%\ZoomWorkspace\, principalmente após extração de arquivo protegido por senha. Eventos de carregamento de módulo, criação de processo e escrita em registro Run ajudam a reconstruir a sequência.
Na rede, a telemetria deve destacar requisições para domínios que aparentam atualização, ativação ou documentação de produtos Microsoft, mas hospedam chave AES ou payload criptografado. As URLs hxxps://softwares.dailydownloads[.]net/products/microsoft/office/product-key/DB2F.activation.key e hxxps://updates.dailydownloads[.]net/docs/microsoft/office/Office_Activation_Manual_DB2F.pdf representam esse padrão. Tráfego para Pastebin logo antes de download de payload e conexões a Telegram por processos de diretórios temporários ou públicos também devem entrar na investigação.
A telemetria externa tem uma limitação importante: servidores protegidos por filtragem geográfica podem negar payloads a sensores fora do país alvo. Falhas com HTTP 403 Forbidden contra domínios suspeitos não eliminam a hipótese de campanha ativa; em alguns casos, são evidência de segmentação. A análise deve preservar cabeçalhos HTTP, IP de origem, ASN, país de saída, horário local e qualquer artefato do arquivo compactado original.
- Criação de
BAT,CMDouLNKna pasta Startup após extração de RAR ou ZIP recebido externamente. - Execução de
Windows Defender Definition Update.cmdno logon ou após reinicialização. - Chave Run apontando para executável em
C:\Users\Public\Documents\Microsoft\winupdate_v{random_int_cur_time}\. - Carregamento de
libcef.dllporobs-browser-page.exefora de um caminho normal de instalação. - Acesso a Pastebin, Dropbox, Telegram ou domínios
dailydownloads[.]netpor processos recém-criados a partir de arquivos compactados. - Hashes
8a7ee2a8e6b3476319a3a0d5846805fd25fa388c7f2215668bc134202ea093fa,50855f0e3c7b28cbeac8ae54d9a8866ed5cb21b5335078a040920d5f9e386ddb,7af238050b2750da760b2cf5053bcf58054bcf44e9af1617d8b7af3ed98d09c6ea3805b24b66646c0cf7ca9abad502fe15b33b53e56a04489cfb64a238616a7bf.
A resposta defensiva deve priorizar a remoção da condição explorável e a interrupção da persistência. Atualize o WinRAR para uma versão corrigida quando houver exposição a CVE-2025-8088 e trate arquivos RAR externos como conteúdo ativo, não como documento passivo. Gateways de e-mail, EDR e proxies devem bloquear ou isolar anexos compactados protegidos por senha quando não houver justificativa operacional, principalmente em temas governamentais, reuniões, salários, cooperação institucional ou eventos oficiais.
Em endpoints já expostos, remova entradas suspeitas da Startup e chaves Run, colete os arquivos originais antes da limpeza e preserve artefatos para análise. Procure scripts com nomes que simulam atualização, DLLs em diretórios públicos ou de perfil, arquivos RAR baixados para C:\Users\Public\Documents\Microsoft\ e execução de binários assinados fora de caminhos esperados. Se houver indício de Havoc Framework ou RAT por Telegram, trate a máquina como comprometida para fins de credenciais, tokens de sessão e acesso a documentos sensíveis.
O bloqueio de rede deve combinar indicadores concretos com comportamento. Domínios e URLs observados podem ser filtrados, mas a operação também usa infraestrutura curta, hospedagem legítima e restrição por país. A defesa deve detectar a sequência: arquivo compactado, escrita fora do diretório de extração, persistência, download de chave, download de payload criptografado e execução em memória. Em ambientes governamentais, essa sequência precisa ser integrada a alertas de identidade, DLP e monitoramento de compartilhamento de documentos.
- Atualizar WinRAR em estáções Windows e validar se
CVE-2025-8088não permanece explorável em imagens padrão, VDI e máquinas fora do domínio. - Bloquear ou colocar em sandbox arquivos RAR protegidos por senha e anexos com
LNK,BATouCMD, especialmente quando enviados a órgãos públicos ou equipes administrativas. - Monitorar criação de arquivos na Startup e entradas Run por processos de extração, shell, Office, navegador ou cliente de e-mail.
- Investigar execução de
obs-browser-page.exee carregamento delibcef.dllem diretórios não usuais. - Revogar sessões e credenciais de usuários afetados quando houver execução confirmada de payload em memória ou RAT com C&C via Telegram.
- Preservar arquivo compactado original, timestamps, caminhos de extração, logs de proxy e eventos de carregamento de módulo para reconstrução da cadeia.
0 Comentários