Na mapie cyberzagrożeń pojawił się nowy chiński gracz. Amaranth-Dragon miała w 2025 roku prowadzić precyzyjne operacje szpiegowskie wymierzone w instytucje rządowe i organy ścigania w Azji Południowo-Wschodniej – wynika z ustaleń Check Point Research. Analitycy zwracają uwagę na tempo działań grupy. Szybkie uzbrajanie świeżych luk i sprawne prowadzenie kampanii to cechy typowe dla APT, czyli zaawansowanych, długotrwałych aktorów zagrożeń.
Najbardziej niepokojącym elementem działalności Amaranth-Dragon jest wykorzystanie podatności WinRAR (CVE-2025-8088) „w ciągu kilku dni” od jej ujawnienia, co sugeruje gotowość operacyjną i wysoki poziom dojrzałości technicznej.
Ofiary otrzymywały złośliwe archiwa (RAR/ZIP), które uruchamiały łańcuch infekcji prowadzący do uruchomienia narzędzi zdalnego dostępu i kanału dowodzenia. Cechą charakterystyczną jest Amaranth, czyli należący do grupy loader, wykorzystywany do pobierania i uruchamiania zaszyfrowanych ładunków bezpośrednio w pamięci, co utrudnia ich wykrycie i analizę. Chińscy hakerzy używają również Havoc C2, legalnego narzędzia do testów bezpieczeństwa, które zostało nadużyte jako framework dowodzenia i kontroli. W kampanii pojawia się też komponent TGAmaranth RAT, w którym komunikacja z atakującymi może odbywać się przez bota na Telegramie, a całość uzupełniają techniki utrudniające pracę narzędziom EDR i antywirusom.
Co ciekawe, infrastruktura była ustawiona tak, by odpowiadała tylko na adresy IP z wybranych państw (reszta dostawała blokadę typu 403). Miało to ograniczyć „przypadkowe” infekcje i utrudniać ich analizę. Specjaliści Check Point Research wskazują, że właśnie ten element jest charakterystyczny dla operacji państwowych.
Działania grupy są ostrzeżeniem nie tylko dla służb i administracji państwowej, lecz również biznesu. Czas reakcji na luki stał się w ostatnim czasie przewagą ofensywy. Jeśli podatność da się uzbroić w mniej niż dwa tygodnie, to okno reakcji dla firm i instytucji drastycznie się skraca. Eksperci wskazują, że kampanie „geopolityczne” nie kończą się na rządach. Ten sam łańcuch świetnie skaluje się na firmy współpracujące z administracją, logistykę, telekomy, dostawców IT i organizacje z danymi wrażliwymi.
Z ustaleń Check Point Research wynika, że – jak dotąd – celem były m.in. administracje państwowe oraz służby i policja w takich krajach jak Kambodża, Tajlandia, Laos, Indonezja, Singapur i Filipiny. Ataki miały być „szyte na miarę”, a przynęty (dokumenty i tematy wiadomości) nawiązywały do realnych wydarzeń politycznych i bezpieczeństwa w regionie, co zwiększało szanse, że ktoś kliknie.
