0-day в деле
Image

0-day в деле

Показываем, как критические баги ломают системы в реальном времени, пока вендоры только готовят патч. 

Откройте архив — за вами присмотрят. Старый добрый WinRAR снова подвёл госслужащих

leer en español

Amaranth-Dragon Check Point APT41 WinRAR Havoc кибершпионаж
Откройте архив — за вами присмотрят. Старый добрый WinRAR снова подвёл госслужащих
Amaranth-Dragon Check Point APT41 WinRAR Havoc кибершпионаж

Незваные гости планируют задержаться в высоких кабинетах надолго.

image

В 2025 году в Юго-Восточной Азии заметно выросла активность кибершпионских операций, замаскированных под сообщения на фоне местной политики и событий в сфере безопасности. Такая привязка к актуальной повестке многократно повышает шанс, что адресаты откроют вредоносные вложения и запустят цепочку заражения.

Аналитики Check Point выделили ранее не описанный кластер под названием Amaranth-Dragon и связали его с экосистемой APT41. В числе целей назывались государственные структуры и правоохранительные органы Камбоджи, Таиланда, Лаоса, Индонезии, Сингапура и Филиппин. Отмечается, что операции были узко нацелены и рассчитаны на длительное закрепление в инфраструктуре ради сбора разведданных.

Ключевым элементом кампаний стало использование уязвимости CVE-2025-8088 в WinRAR, позволяющую выполнять произвольный код при открытии специально подготовленных архивов. Эксплуатацию начали фиксировать примерно через восемь дней после публичного раскрытия уязвимости в августе 2025 года, что, по мнению авторов отчёта, указывает на высокий уровень подготовки атакующих.

Первичный способ доставки пока не установлен, но характер приманок, связанных с политическими, экономическими и военными темами, указывает на адресные фишинговые письма. Вредоносные архивы размещались на известных облачных платформах, включая Dropbox, чтобы снизить подозрения и обойти периметровые средства защиты.

Внутри RAR-архива находился набор файлов, среди которых вредоносная DLL, обозначенная как Amaranth Loader. Её запускали через подгрузку DLL, после чего загрузчик связывался с внешним сервером за ключом шифрования, расшифровывал следующий компонент по другой ссылке и выполнял его прямо в памяти. В качестве итоговой нагрузки использовался открытый фреймворк управления Havoc. Отмечены сходства с инструментами DodgeBox, DUSTPAN и DUSTTRAP, которые ранее связывали с APT41.

Ранние варианты, замеченные в марте 2025 года, опирались на ZIP-архивы с ярлыками Windows и BAT-файлами, которые помогали расшифровать и запустить Amaranth Loader через тот же механизм подгрузки DLL. Похожую схему зафиксировали и в конце октября 2025 года, когда приманки были связаны с Береговой охраной Филиппин.

В отдельной операции против Индонезии в начале сентября 2025 года применялся защищённый паролем RAR-архив из Dropbox, но уже для доставки другого инструмента, TGAmaranth RAT. Этот троян удалённого доступа использовал жёстко заданного бота Telegram для управления и поддерживал команды с понятным назначением, включая выгрузку списка процессов, создание снимка экрана, выполнение команд оболочки, а также загрузку и выгрузку файлов. Для усложнения анализа применялись приёмы против отладки и средств защиты.

Инфраструктуру управления прикрывали Cloudflare, а доступ к серверам ограничивали так, чтобы принимать трафик только из IP-диапазонов стран, выбранных для конкретной операции. В Check Point считают, что пересечения в инструментах, стиле разработки и управлении инфраструктурой указывают на тесную связь Amaranth-Dragon с APT41.