Apt 41

Em 2025, grupos hackers associados à China, especialmente o Amaranth-Dragon, realizaram campanhas de espionagem em agências governamentais no sudoeste da Ásia, incluindo Camboja, Laos, Indonésia, Filipinas, Tailândia e Singapura. Pesquisadores da Check Point Research identificaram que esses ataques foram planejados para coincidir com eventos políticos sensíveis, aumentando a probabilidade de que as vítimas interagissem com conteúdos maliciosos. O grupo utiliza a vulnerabilidade CVE-2025-8088 do WinRAR, que permite a execução remota de códigos, e embora já tenha sido corrigida, muitos usuários ainda não atualizaram o software, mantendo a falha em potencial. O vetor de ataque inicial é desconhecido, mas acredita-se que o grupo utilize spear-phishing e plataformas de nuvem como Dropbox para disfarçar suas atividades. O malware, denominado Amaranth Loader, realiza carregamento lateral e se conecta a servidores externos para receber chaves de encriptação, permitindo a execução de um trojan de acesso remoto. A infraestrutura dos hackers é cuidadosamente controlada, aceitando tráfego apenas de IPs de países-alvo, o que demonstra um nível elevado de sofisticação nas técnicas empregadas.