A lo largo de 2025 se ha detectado una nueva ola de campañas de ciberespionaje que apunta específicamente a organismos gubernamentales y fuerzas del orden en el sudeste asiático. La firma de seguridad Check Point ha identificado este conjunto de operaciones como Amaranth-Dragon, una agrupación que, por su arsenal y modus operandi, parece estar conectada al ecosistema conocido como APT41. Los países que figuran como objetivos incluyen Cambodia, Tailandia, Laos, Indonesia, Singapur y Filipinas, y las intrusiones se caracterizan por su alto grado de sigilo y por estar cuidadosamente cronometradas con acontecimientos políticos y de seguridad regionales. Puede consultarse el informe técnico de Check Point en su estudio público sobre estas operaciones en este enlace: research.checkpoint.com.
La pieza central de muchas de estas campañas ha sido la explotación de una vulnerabilidad en WinRAR, identificada como CVE-2025-8088, que permite la ejecución remota de código cuando un archivo especialmente preparado es abierto por la víctima. Según los investigadores, los atacantes activaron exploits contra esta falla apenas días después de su divulgación pública, lo que demuestra capacidad operativa rápida y preparación técnica. La mitigación y el seguimiento de esta vulnerabilidad están registrados en el repositorio de CVE: CVE-2025-8088.
En cuanto a la mecánica del ataque, los investigadores describen un uso híbrido de técnicas: los adversarios distribuyen archivos comprimidos alojados en servicios legítimos en la nube, como Dropbox, usando señuelos vinculados a noticias o decisiones oficiales para aumentar la probabilidad de que el destinatario abra el archivo. Dentro del archivo malicioso se incluye una biblioteca dinámica (DLL) —el llamado Amaranth Loader— que se activa mediante DLL side‑loading, un método que aprovecha ejecutables legítimos para cargar bibliotecas maliciosas. El proceso de carga incluye la descarga de una clave, la obtención de un payload cifrado desde otra URL y su ejecución directamente en memoria; el control final de la máquina comprometida se plantea a través del framework C2 de código abierto conocido como Havoc (más información en su repositorio: github.com/HavocFramework/Havoc).
No todas las variantes usaron exactamente la misma táctica. Versiones iniciales observadas a principios de 2025 recurrieron a archivos ZIP con accesos directos de Windows (LNK) y scripts por lotes (BAT) para desencadenar la carga lateral de la DLL. En otra campaña dirigida a Indonesia se detectó la entrega de un troyano de acceso remoto apodado TGAmaranth RAT, distribuido a través de un RAR protegido por contraseña y que utiliza un bot de Telegram con comandos predefinidos para exfiltrar información, tomar capturas de pantalla o transferir archivos. Estas variantes suelen incorporar técnicas anti‑análisis y funcionalidades para evadir antivirus.
Un rasgo operativo llamativo en las intrusiones de Amaranth‑Dragon es la forma en que la infraestructura de mando y control fue configurada para minimizar la exposición: los servidores C2 estaban protegidos por Cloudflare y se programaron para aceptar conexiones únicamente desde direcciones IP pertenecientes al país o países atacados, reduciendo así la visibilidad y el riesgo de detección fuera de la zona objetivo. Junto con marcas de compilación, zonas horarias y gestión de infraestructura, todo ello apunta a un equipo bien financiado y disciplinado que opera dentro de la franja horaria UTC+8, según los analistas.
La atribución a APT41 se sustenta en solapamientos técnicos: similitudes en herramientas, patrones de desarrollo de código —por ejemplo, la creación de hilos dentro de funciones exportadas para ejecutar código malicioso— y la reutilización de tácticas como DLL side‑loading. No obstante, es importante recordar que entre actores atribuidos a un mismo país suele haber intercambio de herramientas y técnicas, por lo que las fronteras entre grupos pueden ser difusas.
Paralelamente a este hallazgo, otra firma —Dream Research Labs, con sede en Tel Aviv— ha documentado una campaña distinta, denominada PlugX Diplomacy, atribuida al actor conocido como Mustang Panda. En esa operación los atacantes prescindieron de exploits novedosos y apostaron por la suplantación de confianza: adjuntos que simulan resúmenes diplomáticos o documentos de política internacional bastaban para comprometer al destinatario. El vector de ejecución giró también en torno a archivos comprimidos que contenían un único LNK. Al ejecutarlo se lanzaba un comando PowerShell que extraía un TAR y desplegaba una cadena de ficheros que incluía un ejecutable firmado vulnerable a la búsqueda de DLL, una DLL maliciosa y un archivo cifrado con el payload de PlugX. El informe de Dream está disponible aquí: dreamgroup.com. La técnica de aprovechamiento de ejecutables legítimos para cargar bibliotecas maliciosas está catalogada en el marco ATT&CK como DLL side‑loading.
Ambas oleadas dejan lecciones claras para administraciones y organizaciones expuestas: los atacantes combinan señuelos contextualizados con abuso de servicios y binarios legítimos para reducir las señales obvias de compromiso, y cronometran sus acciones con eventos reales para aumentar la credibilidad del cebo. Además, la utilización de infraestructuras protegidas por terceros y el geofencing de tráfico demuestran que los atacantes invierten en operaciones de bajo perfil para mantener acceso prolongado y recoger inteligencia geopolitica.
Desde la perspectiva de defensa es crucial aplicar parches y actualizaciones tan pronto como estén disponibles (en este caso, actualizar WinRAR frente a la CVE mencionada), restringir la ejecución automática de contenidos procedentes de archivos comprimidos o enlaces no verificados, endurecer controles de correo electrónico para reducir spear‑phishing y monitorizar señales de DLL side‑loading y ejecución de procesos inusuales en endpoints. También es recomendable revisar configuraciones de proxys y firewalls para detectar patrones de conexión con servicios de nube legítimos que puedan estar siendo utilizados como repositorios para cargas maliciosas. Para entender mejor el fenómeno y las técnicas usadas, los marcos de referencia como MITRE ATT&CK ofrecen contexto detallado sobre tácticas y técnicas observadas en este tipo de campañas: attack.mitre.org.
En un escenario donde la información estratégica tiene valor directo en la arena internacional, estas campañas recuerdan que la ciberseguridad es una pieza más de la política exterior y de la seguridad nacional. Los equipos responsables de diplomacia, defensa y orden público deben asumir que no se trata de incidentes aislados sino de operaciones sostenidas y adaptativas, y diseñar defensas que combinen parcheo ágil, formación del personal y visibilidad en red y endpoint para detectar señales tempranas antes de que las intrusiones se conviertan en penetraciones de largo plazo.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...