A los actores de amenazas afiliados a China se les ha atribuido un nuevo conjunto de campañas de ciberespionaje dirigidas a agencias gubernamentales y encargadas de hacer cumplir la ley en todo el sudeste asiático a lo largo de 2025.
Check Point Research está rastreando el grupo de actividades previamente indocumentadas bajo el nombre Amaranto-Dragónque, según dijo, comparte enlaces con el ecosistema APT 41. Los países objetivo incluyen Camboya, Tailandia, Laos, Indonesia, Singapur y Filipinas.
«Muchas de las campañas fueron programadas para coincidir con acontecimientos políticos locales sensibles, decisiones gubernamentales oficiales o eventos de seguridad regionales», dijo la compañía de ciberseguridad en un informe compartido con The Hacker News. «Al anclar la actividad maliciosa en contextos familiares y oportunos, los atacantes aumentaron significativamente la probabilidad de que los objetivos interactuaran con el contenido».
La firma israelí agregó que los ataques tuvieron «un enfoque limitado» y un «alcance limitado», lo que indica esfuerzos por parte de los actores de amenazas para establecer una persistencia a largo plazo en la recopilación de inteligencia geopolítica.
El aspecto más notable del oficio de los actores de amenazas es el alto grado de sigilo, con las campañas «altamente controladas» y la infraestructura de ataque configurada de tal manera que solo pueda interactuar con víctimas en países objetivo específicos en un intento de minimizar la exposición.
Se ha descubierto que las cadenas de ataques montadas por el adversario abusan de CVE-2025-8088, una falla de seguridad ahora parcheada que afecta a RARLAB WinRAR y permite la ejecución de código arbitrario cuando los objetivos abren archivos especialmente diseñados. La explotación de la vulnerabilidad se observó unos ocho días después de su divulgación pública en agosto.
«El grupo distribuyó un archivo RAR malicioso que explota la vulnerabilidad CVE-2025-8088, permitiendo la ejecución de código arbitrario y manteniendo la persistencia en la máquina comprometida», señalaron los investigadores de Check Point. «La velocidad y confianza con la que se puso en práctica esta vulnerabilidad subraya la madurez técnica y la preparación del grupo».
Aunque el vector de acceso inicial exacto sigue siendo desconocido en esta etapa, la naturaleza altamente dirigida de las campañas, junto con el uso de señuelos personalizados relacionados con los acontecimientos políticos, económicos o militares en la región, sugiere el uso de correos electrónicos de phishing para distribuir los archivos alojados en conocidas plataformas en la nube como Dropbox para disminuir las sospechas y eludir las defensas perimetrales tradicionales.
El archivo contiene varios archivos, incluido un DLL malicioso llamado Amaranth Loader que se inicia mediante carga lateral de DLL, otra táctica preferida desde hace mucho tiempo entre los actores de amenazas chinos. El cargador comparte similitudes con herramientas como DodgeBox, DUSTPAN (también conocido como StealthVector) y DUSTTRAP, que han sido identificadas previamente como utilizadas por el equipo de piratería APt41.
Una vez ejecutado, el cargador está diseñado para contactar a un servidor externo para recuperar una clave de cifrado, que luego se usa para descifrar una carga útil cifrada recuperada de una URL diferente y ejecutarla directamente en la memoria. La carga útil final implementada como parte del ataque es el marco de comando y control (C2 o C&C) de código abierto conocido como Havoc.
Por el contrario, las primeras iteraciones de la campaña detectadas en marzo de 2025 utilizaron archivos ZIP que contenían accesos directos de Windows (LNK) y lotes (BAT) para descifrar y ejecutar Amaranth Loader mediante carga lateral de DLL. También se identificó una secuencia de ataque similar en una campaña de finales de octubre de 2025 utilizando señuelos relacionados con la Guardia Costera de Filipinas.
En otra campaña dirigida a Indonesia a principios de septiembre de 2025, los actores de amenazas optaron por distribuir un archivo RAR protegido con contraseña desde Dropbox para entregar un troyano de acceso remoto (RAT) completamente funcional con nombre en código TGAmaranth RAT en lugar de Amaranth Loader que aprovecha un bot de Telegram codificado para C2.
Además de implementar técnicas antidepuración y antivirus para resistir el análisis y la detección, RAT admite los siguientes comandos:
- /start, para enviar una lista de procesos en ejecución desde la máquina infectada al bot
- /screenshot, para capturar y subir una captura de pantalla
- /shell, para ejecutar un comando específico en la máquina infectada y extraer la salida
- /descargar, para descargar un archivo específico de la máquina infectada
- /upload, para cargar un archivo a la máquina infectada
Es más, la infraestructura C2 está protegida por Cloudflare y está configurada para aceptar tráfico solo de direcciones IP dentro del país o países específicos a los que se dirige cada operación. La actividad también ejemplifica cómo los actores de amenazas sofisticados utilizan como arma la infraestructura legítima y confiable para ejecutar ataques dirigidos sin dejar de operar de manera clandestina.
Los vínculos de Amaranth-Dragon con APT41 surgen de superposiciones en el arsenal de malware, aludiendo a una posible conexión o recursos compartidos entre los dos grupos. Vale la pena señalar que los actores de amenazas chinos son conocidos por compartir herramientas, técnicas e infraestructura.
«Además, el estilo de desarrollo, como la creación de nuevos hilos dentro de las funciones de exportación para ejecutar código malicioso, refleja fielmente las prácticas establecidas de APT41», afirmó Check Point.
«Las marcas de tiempo de compilación, los tiempos de campaña y la gestión de infraestructura apuntan a un equipo disciplinado y con buenos recursos que opera en la zona UTC+8 (hora estándar de China). En conjunto, estas superposiciones técnicas y operativas sugieren fuertemente que Amaranth-Dragon está estrechamente vinculado o es parte del ecosistema APT41, y continúa con los patrones establecidos de focalización y desarrollo de herramientas en la región».
Mustang Panda ofrece la variante PlugX en una nueva campaña
La divulgación se produce cuando la empresa de ciberseguridad Dream Research Labs, con sede en Tel Aviv, detalló una campaña orquestada por otro grupo de estado-nación chino identificado como Mustang Panda que se ha dirigido a funcionarios involucrados en la diplomacia, las elecciones y la coordinación internacional en múltiples regiones entre diciembre de 2025 y mediados de enero de 2026. A la actividad se le ha asignado el nombre Diplomacia PlugX.
«En lugar de explotar las vulnerabilidades del software, la operación se basó en la suplantación y la confianza», dijo la compañía. «Las víctimas fueron atraídas a abrir archivos que parecían ser resúmenes diplomáticos o documentos políticos vinculados a Estados Unidos. Abrir el archivo por sí solo fue suficiente para desencadenar el compromiso».
Los documentos allanaron el camino para la implementación de una variante personalizada de PlugX, un malware de larga data utilizado por el grupo de piratas informáticos para recopilar datos de forma encubierta y permitir el acceso persistente a hosts comprometidos. La variante, llamada DOPLUGS, se ha detectado en la naturaleza desde al menos finales de diciembre de 2022.
Las cadenas de ataques son bastante consistentes en el sentido de que los archivos adjuntos ZIP maliciosos centrados en reuniones oficiales, elecciones y foros internacionales actúan como catalizador para detonar un proceso multiestatal. Dentro del archivo comprimido hay un único archivo LNK que, cuando se inicia, activa la ejecución de un comando de PowerShell que extrae y suelta un archivo TAR.
«La lógica integrada de PowerShell busca recursivamente el archivo ZIP, lo lee como bytes sin procesar y extrae una carga útil que comienza en un desplazamiento de bytes fijo», explicó Dream. «Los datos grabados se escriben en el disco mediante una invocación ofuscada del método WriteAllBytes. Los datos extraídos se tratan como un archivo TAR y se descomprimen utilizando la utilidad nativa tar.exe, lo que demuestra el uso consistente de binarios que viven de la tierra (LOLBins) a lo largo de toda la cadena de infección».
El archivo TAR contiene tres archivos:
- Un ejecutable legítimo firmado asociado con AOMEI Backupper es vulnerable al secuestro del orden de búsqueda de DLL («RemoveBackupper.exe»)
- Un archivo cifrado que contiene la carga útil de PlugX («backupper.dat»)
- Una DLL maliciosa que se descarga usando el ejecutable («comn.dll») para cargar PlugX
La ejecución del ejecutable legítimo muestra un documento PDF señuelo al usuario para darle la impresión a la víctima de que no pasa nada, cuando, en segundo plano, DOPLUGS está instalado en el host.
«La correlación entre los acontecimientos diplomáticos reales y el momento en que se detectaron señuelos sugiere que es probable que persistan campañas análogas a medida que se desarrollen los acontecimientos geopolíticos», concluyó Dream.
«Las entidades que operan en sectores diplomáticos, gubernamentales y orientados a políticas deberían, en consecuencia, considerar los métodos maliciosos de distribución de LNK y el secuestro de órdenes de búsqueda de DLL a través de ejecutables legítimos como amenazas persistentes y de alta prioridad en lugar de tácticas aisladas o fugaces».