Los actores de amenazas afiliados a China han sido atribuidos a una nueva serie de campañas de ciberespionaje dirigidas a los organismos gubernamentales y encargados de hacer cumplir la ley en todo el sudeste asiático a lo largo de 2025.

Check Point Research está rastreando el grupo de actividades previamente indocumentado bajo el nombre Dragón Amaranto , que según dijo comparte vínculos con el ecosistema APT 41. Los países objetivo incluyen Camboya, Tailandia, Laos, Indonesia, Singapur y Filipinas.

«Muchas de las campañas se programaron para que coincidieran con acontecimientos políticos locales delicados, decisiones oficiales del gobierno o eventos de seguridad regional», dijo la empresa de ciberseguridad dijo en un informe compartido con The Hacker News. «Al anclar la actividad maliciosa en contextos conocidos y oportunos, los atacantes aumentaron significativamente la probabilidad de que los objetivos interactuaran con el contenido».

La firma israelí añadió que los ataques tenían un «enfoque limitado» y «un alcance estricto», lo que indica los esfuerzos de los actores de la amenaza por establecer una persistencia a largo plazo para la recopilación de información geopolítica.

El aspecto más notable del oficio de los actores de amenazas es el alto grado de sigilo, ya que las campañas están «altamente controladas» y la infraestructura de ataque está configurada de manera que solo puede interactuar con las víctimas en países objetivo específicos, en un intento de minimizar la exposición.

Se ha descubierto que las cadenas de ataque montadas por el adversario abusan CVE-2025-8088 , una falla de seguridad ahora corregida que afecta a RARLAB WinRAR y que permite la ejecución de código arbitrario cuando los objetivos abren archivos especialmente diseñados. La explotación de la vulnerabilidad se observó unos ocho días después de su divulgación pública en agosto .

adsense

«El grupo distribuyó un archivo RAR malicioso que aprovecha la vulnerabilidad CVE-2025-8088, lo que permite la ejecución de código arbitrario y mantiene la persistencia en la máquina comprometida», señalaron los investigadores de Check Point. «La velocidad y la confianza con las que se operacionalizó esta vulnerabilidad subrayan la madurez técnica y la preparación del grupo».

Si bien el vector exacto de acceso inicial sigue sin conocerse por el momento, el carácter altamente selectivo de las campañas, junto con el uso de señuelos personalizados relacionados con los acontecimientos políticos, económicos o militares en la región, sugieren el uso de correos electrónicos de suplantación de identidad para distribuir los archivos archivados alojados en plataformas en la nube conocidas, como Dropbox, a fin de reducir las sospechas y eludir las defensas perimetrales tradicionales.

El archivo contiene varios archivos, incluida una DLL maliciosa llamada Amaranth Loader que se lanza mediante la carga lateral de DLL, otra táctica preferida desde hace mucho tiempo entre los actores de amenazas chinos. El cargador comparte similitudes con herramientas como DodgeBox, DUSTPAN (también conocido como StealthVector) y DUSTTRAP , que han sido identificados previamente como utilizados por el equipo de piratas informáticos del ApT41.

Una vez ejecutado, el cargador está diseñado para contactar con un servidor externo para recuperar una clave de cifrado, que luego se utiliza para descifrar una carga útil cifrada recuperada de una URL diferente y ejecutarla directamente en la memoria. La última carga útil desplegada como parte del ataque es el marco de comando y control (C2 o C&C) de código abierto conocido como Caos .

Por el contrario, las primeras versiones de la campaña detectadas en marzo de 2025 utilizaban archivos ZIP que contenían atajos de Windows (LNK) y por lotes (BAT) para descifrar y ejecutar Amaranth Loader mediante la carga lateral de DLL. También se identificó una secuencia de ataque similar en una campaña de finales de octubre de 2025 con señuelos pertenecientes a la Guardia Costera de Filipinas.

En otra campaña dirigida a Indonesia a principios de septiembre de 2025, los actores de la amenaza optaron por distribuir un archivo RAR protegido con contraseña desde Dropbox para ofrecer un troyano de acceso remoto (RAT) totalmente funcional con el nombre en código TGamaranth RAT, en lugar de Amaranth Loader, que aprovecha un bot de Telegram codificado para C2.

Además de implementar técnicas antidepuración y antiantivirus para resistir el análisis y la detección, la RAT admite los siguientes comandos:

  • /start, para enviar una lista de los procesos en ejecución desde la máquina infectada al bot
  • /screenshot, para capturar y subir una captura de pantalla
  • /shell, para ejecutar un comando específico en la máquina infectada y filtrar el resultado
  • /download, para descargar un archivo específico de la máquina infectada
  • /upload, para subir un archivo a la máquina infectada

Además, la infraestructura C2 está protegida por Cloudflare y está configurada para aceptar tráfico solo de direcciones IP dentro del país o países específicos a los que se dirige cada operación. La actividad también ejemplifica cómo los sofisticados actores de amenazas utilizan como armas una infraestructura legítima y confiable para ejecutar ataques dirigidos sin dejar de operar de manera clandestina.

Los enlaces de Amaranth-Dragon con APT41 provienen de superposiciones en el arsenal de malware, aludiendo a una posible conexión o recursos compartidos entre los dos clústeres. Vale la pena señalar que los actores de amenazas chinos son conocidos por compartir herramientas, técnicas e infraestructuras.

«Además, el estilo de desarrollo, como la creación de nuevos hilos dentro de las funciones de exportación para ejecutar código malicioso, refleja fielmente las prácticas establecidas de APT41», afirma Check Point.

«Las marcas de tiempo de compilación, el calendario de las campañas y la gestión de la infraestructura apuntan a un equipo disciplinado y bien dotado de recursos que opera en la zona UTC+8 (hora estándar de China). En conjunto, estas superposiciones técnicas y operativas sugieren claramente que Amaranth-Dragon está estrechamente vinculado al ecosistema de la APT41 o forma parte de él, y que continúa con los patrones establecidos de segmentación y desarrollo de herramientas en la región».

El Mustang Panda presenta la variante PlugX en una nueva campaña

La revelación se produce cuando la empresa de ciberseguridad Dream Research Labs, con sede en Tel Aviv, detalló una campaña orquestada por otro grupo estado-nación chino rastreado como Mustang Panda que se ha dirigido a funcionarios involucrados en la diplomacia, las elecciones y la coordinación internacional en varias regiones entre diciembre de 2025 y mediados de enero de 2026. Se ha asignado el nombre a la actividad Diplomacia PlugX .

«En lugar de explotar las vulnerabilidades del software, la operación se basó en la suplantación de identidad y la confianza», dijo la empresa dijo . «Se engañó a las víctimas para que abrieran archivos que parecían ser resúmenes diplomáticos o documentos políticos vinculados a los Estados Unidos. La apertura del expediente por sí sola bastó para llegar a un acuerdo».

Los documentos allanan el camino para el despliegue de una variante personalizada de Enchufe X , un malware de larga data utilizado por el grupo de piratas informáticos para recopilar datos de forma encubierta y permitir el acceso persistente a los servidores comprometidos. La variante, denominada TAPONES PARA PERROS , se ha detectado en estado salvaje al menos desde finales de diciembre de 2022.

enlaces

Las cadenas de ataque son bastante consistentes en el sentido de que los archivos ZIP maliciosos centrados en reuniones oficiales, elecciones y foros internacionales actúan como catalizadores para detonar un proceso multiestatal. Dentro del archivo comprimido hay un único archivo LNK que, cuando se lanza, desencadena la ejecución de un comando de PowerShell que extrae y elimina un archivo TAR.

«La lógica integrada de PowerShell busca de forma recursiva el archivo ZIP, lo lee como bytes sin procesar y extrae una carga útil que comienza con un desplazamiento de bytes fijo», explica Dream. «Los datos grabados se escriben en el disco mediante una invocación ofuscada del método writeAllBytes. Los datos extraídos se tratan como un archivo TAR y se desempaquetan con la utilidad tar.exe nativa, lo que demuestra el uso uniforme de los archivos binarios tradicionales (LOLBins) a lo largo de la cadena de infección».

El archivo TAR contiene tres archivos -

  • Un ejecutable legítimo firmado asociado a AOMEI Backupper es vulnerable al secuestro de órdenes de búsqueda de DLL (» RemoveBackupper.exe «)
  • Un archivo cifrado que contiene la carga útil de PlugX (» backupper.dat «)
  • Una DLL maliciosa que se descarga de forma lateral mediante el ejecutable (» comn.dll «) para cargar PlugX

La ejecución del ejecutable legítimo muestra un documento PDF señuelo al usuario para dar la impresión a la víctima de que no pasa nada, cuando, en segundo plano, DOPLUGS está instalado en el host.

«La correlación entre los acontecimientos diplomáticos reales y el momento en que se detectaron los señuelos sugiere que es probable que las campañas análogas persistan a medida que se desarrollen los acontecimientos geopolíticos», concluyó Dream.

«En consecuencia, las entidades que operan en los sectores diplomático, gubernamental y orientado a la formulación de políticas deberían considerar los métodos maliciosos de distribución de LNK y el secuestro de órdenes de búsqueda de archivos DLL mediante ejecutables legítimos como amenazas persistentes y de alta prioridad, en lugar de tácticas aisladas o fugaces».

¿Te ha parecido interesante este artículo? Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.