Im Laufe des Jahres 2025 wurde eine neue Welle von Cyber-Espionage-Kampagnen entdeckt, die Regierungsbehörden und die Strafverfolgung in Südostasien anvisiert. Die Sicherheitsfirma Check Point hat diese Betriebsart als Amaranth-Dragon, eine Gruppe, die aufgrund ihrer Arsenal- und Modusoperndi mit dem Ökosystem verbunden scheint, das als APT41. Zu den Zielländern gehören Kambodscha, Thailand, Laos, Indonesien, Singapur und die Philippinen, und die Intrusionen zeichnen sich durch ihr hohes Maß an Stealth aus und werden sorgfältig von regionalen politischen und sicherheitsrelevanten Ereignissen begleitet. Der technische Bericht des Kontrollpunktes ist in seiner öffentlichen Studie zu diesen Operationen auf diesem Link verfügbar: Zurück zur Übersicht.
Der zentrale Teil von vielen dieser Kampagnen war die Ausbeutung einer Schwachstelle in WinRAR, identifiziert als CVE-2025-8088, die eine Remote-Code-Ausführung ermöglicht, wenn eine speziell vorbereitete Datei vom Opfer geöffnet wird. Laut den Ermittlern nutzten die Angreifer vor diesem Misserfolg nur wenige Tage nach ihrer öffentlichen Offenlegung aus, was zeigt schnelle Betriebsfähigkeit und technische Vorbereitung. Im CVE-Projektarchiv werden Abschwächung und Überwachung dieser Schwachstelle erfasst: CVE-2025-8088.
Was die Mechanik des Angriffs betrifft, beschreiben die Forscher eine hybride Anwendung von Techniken: Die Gegner verteilen komprimierte Dateien, die in legitimen Cloud-Diensten, wie Dropbox, gehostet werden, indem sie mit offiziellen Nachrichten oder Entscheidungen verbunden sind, um die Wahrscheinlichkeit zu erhöhen, dass der Empfänger die Datei öffnet. In der schädlichen Datei ist eine dynamische Bibliothek (DLL) enthalten - der Anruf Amaranth Loader- die durch DLL Seitenrollen, eine Methode, die nutzt legitime ausführbare, um böswillige Bibliotheken laden. Der Ladevorgang beinhaltet das Herunterladen eines Schlüssels, das Erhalten einer verschlüsselten Nutzlast von einer anderen URL und deren Ausführung direkt im Speicher; die endgültige Steuerung der kompromittierten Maschine wird durch das Open Source C2 Framework, bekannt als Havoc (mehr Informationen in ihrem Repository: github.com / HavocFramework / Havoc)
Nicht alle Varianten benutzten genau die gleiche Taktik. Anfangsversionen, die Anfang 2025 beobachtet wurden, wurden auf ZIP-Dateien mit direktem Windows-Zugriff (LNK) und Batch-Skripten (BT) zurückgegriffen, um die Seitenlast der DLL auszulösen. Eine weitere Kampagne nach Indonesien erkannte die Lieferung eines Remote-Access Trojan Nicknamed TGAMaranth RAT, verteilt durch ein passwortgeschütztes RAR mit einem Telegram Bot mit vordefinierten Befehlen, um Informationen auszufiltern, Screenshots oder Übertragung von Dateien. Diese Varianten enthalten oft Anti-Analyse-Techniken und Funktionalitäten, um Antiviren zu vermeiden.
Ein markantes operatives Merkmal von Amaranth-Dragons Intrusionen ist, wie die Befehls- und Kontrollinfrastruktur eingerichtet wurde, um die Exposition zu minimieren: C2-Server wurden durch Cloudflare geschützt und wurden programmiert, Verbindungen nur von IP-Adressen, die dem Land oder den angegriffenen Ländern angehören, zu akzeptieren, wodurch die Sichtbarkeit und das Risiko der Erkennung außerhalb des Zielgebiets verringert werden. Gemeinsam mit Compilationsmarken, Zeitzonen und Infrastrukturmanagement weist das alles auf ein Team hin gut finanziert und diszipliniert Betrieb im UTC + 8 Zeitbereich, nach Analyten.
Attribution to APT41 basiert auf technischen Überlappungen: Werkzeug Ähnlichkeiten, Code-Entwicklungsmuster - zum Beispiel, Erstellen von Threads innerhalb exportierter Funktionen, um bösartigen Code auszuführen - und Taktiken wie DLL-Seitenrolling wiederherzustellen. Es ist jedoch wichtig zu erinnern, dass zwischen den Akteuren, die auf das gleiche Land zurückgeführt werden, oft ein Austausch von Werkzeugen und Techniken besteht, so dass die Grenzen zwischen den Gruppen diffus sein können.
Parallel zu diesem Fund hat eine andere Firma - Dream Research Labs mit Sitz in Tel Aviv - eine andere Kampagne, genannt PlugX Diplomatie, dem Schauspieler namens Mustang Panda zugeschrieben. In dieser Operation hatten die Angreifer keine neuen Ausbeutungen, und sie wetten darauf, das Vertrauen zu supplantieren: Anhänge, die diplomatische Zusammenfassungen oder internationale politische Dokumente simulieren, reichten aus, um den Empfänger zu gefährden. Der Ausführungsvektor drehte sich auch um komprimierte Dateien mit einer einzigen LNK. Beim Laufen wurde ein PowerShell-Befehl gestartet, der ein TAR extrahierte und eine Dateikette einsetzte, die eine unterzeichnete ausführbare DLL-Suche, eine bösartige DLL und eine verschlüsselte Datei mit PlugX-Payload enthielt. Der Dream-Bericht ist hier verfügbar: traumgroup.com. Die Technik der Verwendung von legitimen ausführbaren zum Laden von schädlichen Bibliotheken ist im ATT & CK-Framework als DLL Seitenrollen.
Beide Wellen lassen deutliche Lektionen für exponierte Verwaltungen und Organisationen: Die Angreifer kombinieren kontextualisierte Köder mit Missbrauch von Dienstleistungen und legitimen Binaren, um offensichtliche Zeichen des Engagements zu reduzieren und ihre Handlungen mit realen Ereignissen zu terminieren, um die Glaubwürdigkeit des Köders zu erhöhen. Darüber hinaus zeigen die Verwendung von Drittanbietern geschützter Infrastruktur und Verkehrsgeofencing, dass Angreifer in Low-Profile-Operationen investieren, um langfristigen Zugang zu erhalten und geopolitische Intelligenz zu sammeln.
Aus der Verteidigungsperspektive ist es entscheidend, Patches und Updates anzuwenden, sobald sie verfügbar sind (in diesem Fall aktualisieren Sie WinRAR gegen die erwähnte CVE), schränken Sie die automatische Ausführung von Inhalten aus komprimierten Dateien oder unified Links, härten E-Mail-Kontrollen, um Geschwindigkeits-Phishing und Monitor-Signale von Side-loading DLL und die Ausführung von ungewöhnlichen Prozessen in Endpunkten zu reduzieren. Es wird auch empfohlen, Proxy- und Firewall-Konfigurationen zu überprüfen, um Verbindungsmuster mit legitimen Cloud-Diensten zu erkennen, die als Repositories für schädliche Lasten verwendet werden können. Um das Phänomen und die verwendeten Techniken besser zu verstehen, bieten Referenzrahmen wie MITRE ATT & CK detaillierten Kontext zu Taktiken und Techniken, die in dieser Art von Kampagne beobachtet werden: Angriff.mitre.org.
In einem Szenario, in dem strategische Informationen einen direkten Wert in der internationalen Arena haben, erinnern diese Kampagnen daran, dass Cybersicherheit ein weiteres Stück Außenpolitik und nationale Sicherheit ist. Die Teams, die für Diplomatie, Verteidigung und Recht und Ordnung verantwortlich sind, müssen davon ausgehen, dass sie nicht isolierte Vorfälle, sondern nachhaltige und adaptive Operationen sind, und Designverteidigungen, die agile Parkplätze, Personalschulung und Netzwerk und Endpoint Sicht kombinieren, um frühe Signale zu erkennen, bevor Einbrüche zu langfristigen Durchbrüchen werden.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...