Un nouvel acteur du cyberespionnage, baptisé Amaranth-Dragon et lié au groupe APT-41, a été identifié par les chercheurs de Check Point. Depuis mars 2025, ce groupe mène des campagnes très ciblées contre des agences gouvernementales en Asie du Sud-Est.
Son mode opératoire se distingue par une grande réactivité, dont l'exploitation de la faille de sécurité CVE-2025-8088 affectant WinRAR, moins de dix jours après sa divulgation.
Une faille WinRAR devient une arme d'espionnage
La vulnérabilité critique est de type " path traversal " et permet à un attaquant d'exécuter du code arbitraire via une archive RAR malveillante.
Amaranth-Dragon a rapidement intégré cette technique dans son arsenal. Selon Check Point, le groupe a commencé à l'utiliser dès le 18 août 2025, seulement quatre jours après la publication d'un premier exploit. Rappelons que cette vulnérabilité a été comblée l'été dernier.
Les attaquants distribuent des archives piégées, souvent hébergées sur des services légitimes tels que Dropbox. L'ouverture du fichier permet de déposer un script malveillant dans le dossier de démarrage de Windows, assurant ainsi la persistance du malware sur la machine de la victime après redémarrage.
Des outils sophistiqués déployés par Amaranth-Dragon
Une fois l'accès initial obtenu, le groupe utilise une chaîne d'attaque pour mener ses opérations. Un loader personnalisé, nommé Amaranth Loader, est déployé via une technique de DLL sideloading. Il contacte ensuite un serveur de commande et contrôle pour télécharger une charge utile chiffrée.
La charge utile finale est fréquemment le framework open source Havoc C2. Plus récemment, les chercheurs ont identifié TGAmaranth RAT, un cheval de Troie qui utilise un bot Telegram comme serveur de contrôle et commande. Il peut effectuer des captures d'écran, télécharger des fichiers et exécuter des commandes à distance.
Les serveurs de contrôle et commande d'Amaranth-Dragon sont protégés par Cloudflare et configurés pour n'accepter que le trafic provenant des pays ciblés. Une technique de géorepérage qui minimise les risques de détection.
Une attribution à la Chine
Les thèmes des attaques coïncident généralement avec des développements politiques locaux sensibles, des décisions gouvernementales officielles ou des événements de sécurité régionaux.
L'attribution à la Chine repose sur plusieurs indices concordants. Les analyses techniques montrent des similitudes avec les outils du groupe APT-41, un acteur notoire lié à Pékin. Les horodatages de compilation, le calendrier des campagnes et la gestion de l'infrastructure pointent vers une équipe opérant sur le fuseau horaire de la Chine.
