Campanas de espionaje vinculadas a China explotan fallo en WinRAR y apuntan al sudeste asiático en 2025

Actores de amenazas vinculados a China han sido atribuidos a nuevas campañas de ciberespionaje contra agencias gubernamentales y policiales en el sudeste asiático durante 2025. Check Point Research rastrea el grupo bajo el nombre Amaranth-Dragon, relacionado con el ecosistema APT41, y detectó el uso de CVE-2025-8088, una vulnerabilidad en WinRAR, ocho días después de su divulgación. Las campañas se sincronizaron con eventos políticos sensibles y utilizaron archivos RAR maliciosos, cargadores DLL y el framework Havoc, además de un RAT llamado TGAmaranth que usa Telegram como C2. La infraestructura emplea Cloudflare y restringe tráfico por IPs de países objetivo. También se reveló otra campaña de Mustang Panda que distribuye una variante de PlugX (DOPLUGS) mediante archivos LNK y DLL sideloading.

Actores de amenazas vinculados a China han sido atribuidos a nuevas campañas de ciberespionaje contra agencias gubernamentales y policiales en el sudeste asiático durante 2025. Check Point Research rastrea el grupo bajo el nombre Amaranth-Dragon, relacionado con el ecosistema APT41, y detectó el uso de CVE-2025-8088, una vulnerabilidad en WinRAR, ocho días después de su divulgación.

Las campañas se sincronizaron con eventos políticos sensibles y utilizaron archivos RAR maliciosos, cargadores DLL y el framework Havoc, además de un RAT llamado TGAmaranth que usa Telegram como C2. La infraestructura emplea Cloudflare y restringe tráfico por IPs de países objetivo.

En una campaña separada, Mustang Panda desplegó una variante de PlugX llamada DOPLUGS mediante archivos LNK y DLL sideloading, dirigida a funcionarios diplomáticos y electorales entre diciembre de 2025 y enero de 2026.