Группировка Amaranth-Dragon атакует правительства Юго-Восточной Азии
3 мин
14
Исследователи из Check Point Research рассказали о новой волне кибершпионажа в Юго-Восточной Азии. Атаки ведёт группировка Amaranth-Dragon, которая связана с китайской APT-41. В 2025 году Хакеры атаковали правительственные структуры и правоохранительные органы. Группа умело привязывает атаки к местным политическим событиям, что резко повышает шансы на успех.
Группировка эксплуатирует свежую уязвимость CVE-2025-8088 в WinRAR. Баг раскрыли в августе 2025 года, тогда же появился публичный эксплойт, и Amaranth-Dragon применила его в боевых условиях. CVE-2025-8088 позволяет выполнить произвольный код через специально сформированный архив и загрузить вредоносные файлы в папку автозагрузки Windows.
Для доставки вредоносов группа использует легитимные сервисы вроде Dropbox. Собственный инструмент Amaranth Loader доставляет зашифрованные пейлоады на машины жертв. Чаще всего разворачивается Havoc C2 Framework — легальная платформа для пентестов.
Командные серверы прячутся за Cloudflare и настроены хитро. Отвечают только на запросы с IP-адресов целевых стран. Попытка подключиться откуда-то ещё приводит к ошибке 403.
Арсенал группировки удивительно похож на инструменты APT-41. Та же техника DLL sideloading, те же бесконечные циклы Sleep в неиспользуемых экспортах библиотек. Анализ временных меток компиляции показывает работу в UTC+8 — китайское стандартное время.
Первая кампания случилась весной 2025 года против Камбоджи. Тогда ещё не использовалась CVE, а только ZIP-архивы со скриптами. Далее была повторная атака с обновлённым загрузчиком, а летом кибернападению подверглись Таиланд и Лаос. В конце лета 2025 года с использованием новой уязвимости произошла атака на Индонезию. Файл-приманка маскировался под документ о повышении зарплат госслужащим. Инцидент был привязан к реальному поводу — правительство как раз подняло зарплаты на 8%.
Осенью появился новый вредонос TGAmaranth RAT — троян удалённого доступа на базе Telegram-бота в качестве C&C. Он умеет обходить EDR и антивирусы, перезаписывая системную ntdll.dll чистой копией без хуков. Затем запускает дочерний процесс в suspended-режиме, копирует оттуда незаражённую библиотеку и подменяет у себя.
Троян шифрует критичные строки XOR-алгоритмом. Токен бота хранится зашифрованным. После запуска подключается к Telegram API и ждёт команд. Доступны стандартные RAT-функции: список процессов, скриншоты, выполнение команд, загрузка и скачивание файлов.
Загрузчик Amaranth — 64-битная DLL, которая расшифровывает URL для получения AES-ключа. Сначала ключи хранились на Pastebin под аккаунтом amaranthbernadine, потом группа перенесла их на свои серверы с географическими ограничениями. Код выполняется в памяти без записи на диск. В коде нашлись пути к исходникам Crypto++ из среды разработки. Диски называются SideLoading и ApplicationDllHijacking. Обнаружен вариант с модифицированным RC4 для расшифровки шелл-кода. Тогда же осенью 2025 года группировка атаковала Таиланд, Сингапур и Филиппины. Возможно нападения были привязаны к китайско-тайским военным учениям Falcon Strike 2025. В октябре эксперты зафиксировали две кампании против Филиппин.
