Une nouvelle vague de campagnes de cyberespionnage a été détectée tout au long de 2025, ciblant les organismes gouvernementaux et les forces de l'ordre en Asie du Sud-Est. La société de sécurité Check Point a identifié cet ensemble d'opérations comme Amaranth-Dragon, un groupe qui, en raison de son arsenal et de son modus operandi, semble être connecté à l'écosystème connu comme APT41. Les pays cibles sont le Cambodge, la Thaïlande, le Laos, l'Indonésie, Singapour et les Philippines, et les intrusions sont caractérisées par leur niveau élevé de furtivité et sont soigneusement chronométrées par des événements politiques et sécuritaires régionaux. Le rapport technique du point de contrôle est disponible dans son étude publique sur ces opérations à ce lien: Rearch.checkpoint.com.
La partie centrale de ces campagnes a été l'exploitation d'une vulnérabilité dans WinRAR, identifiée comme CVE-2025-8088, qui permet l'exécution de code à distance quand un fichier spécialement préparé est ouvert par la victime. Selon les enquêteurs, les agresseurs ont activé des exploits contre cet échec quelques jours après sa divulgation publique, qui montre capacité opérationnelle rapide et préparation technique. L'atténuation et la surveillance de cette vulnérabilité sont enregistrées dans le dépôt CVE : CVE-2025-8088.
Quant à la mécanique de l'attaque, les chercheurs décrivent une utilisation hybride des techniques : les adversaires distribuent des fichiers compressés hébergés dans des services de cloud légitimes, comme Dropbox, en utilisant des leurres liés aux nouvelles ou décisions officielles pour augmenter la probabilité que le destinataire ouvre le fichier. Dans le fichier malveillant est inclus une bibliothèque dynamique (DLL) - l'appel Chargeur Amaranth- qui est activé par Laminage latéral DLL, une méthode qui profite des exécutables légitimes pour charger des bibliothèques malveillantes. Le processus de chargement comprend le téléchargement d'une clé, l'obtention d'une charge utile chiffrée à partir d'une autre URL et son exécution directement en mémoire; le contrôle final de la machine compromise est soulevé par le cadre open source C2 connu sous le nom de Havoc (plus d'informations dans son dépôt: github.com / HavocFramework / Havoc).
Toutes les variantes n'utilisaient pas exactement la même tactique. Les versions initiales observées au début de 2025 ont eu recours à des fichiers ZIP avec accès direct Windows (LNK) et des scripts batch (BT) pour déclencher la charge latérale de la DLL. Une autre campagne en Indonésie a détecté la livraison d'un cheval de Troie distant surnommé TGAMaranth RAT, distribué via un RAR protégé par mot de passe en utilisant un robot Telegram avec des commandes prédéfinies pour exfilter des informations, prendre des captures d'écran ou transférer des fichiers. Ces variantes intègrent souvent des techniques et des fonctionnalités anti-analyse pour éviter les antivirus.
Une caractéristique opérationnelle frappante des intrusions d'Amaranth-Dragon est la façon dont l'infrastructure de commande et de contrôle a été configurée pour minimiser l'exposition : les serveurs C2 étaient protégés par Cloudflare et programmés pour accepter les connexions uniquement à partir d'adresses IP appartenant au ou aux pays attaqués, réduisant ainsi la visibilité et le risque de détection en dehors de la zone cible. Avec les marques de compilation, les fuseaux horaires et la gestion de l'infrastructure, tout cela indique une équipe bien financé et discipliné fonctionnement dans le temps UTC + 8, selon les analystes.
L'attribution à APT41 est basée sur des chevauchements techniques : similarités d'outils, modèles de développement de code - par exemple, créer des threads dans les fonctions exportées pour exécuter du code malveillant - et réutiliser des tactiques comme DLL side-rolling. Cependant, il est important de se rappeler qu'entre les acteurs attribués à un même pays il y a souvent un échange d'outils et de techniques, afin que les frontières entre les groupes puissent être diffuses.
Parallèlement à cette constatation, une autre entreprise - Dream Research Labs, basée à Tel Aviv - a documenté une campagne différente, appelée PlugX Diplomatie, attribuée à l'acteur connu sous le nom de Mustang Panda. Dans cette opération, les agresseurs n'ont pas eu de nouveaux exploits, et ils parient sur le remplacement de la confiance : les pièces jointes qui simulent des résumés diplomatiques ou des documents de politique internationale étaient suffisantes pour compromettre le destinataire. Le vecteur d'exécution tournait également autour de fichiers compressés contenant un seul LNK. Lors de son exécution, une commande PowerShell a été lancée qui a extrait un TAR et déployé une chaîne de fichiers qui comprenait un exécutable signé vulnérable à la recherche DLL, une DLL malveillante et un fichier crypté avec PlugX charge utile. Le rapport Dream est disponible ici: Dreamgroup.com. La technique d'utilisation des exécutables légitimes pour charger des bibliothèques malveillantes est listée dans le framework ATT & CK comme Laminage latéral DLL.
Les deux vagues laissent des leçons claires pour les administrations et les organisations exposées : les agresseurs combinent des leurres contextualisés avec des abus de services et des binaires légitimes pour réduire les signes évidents d'engagement, et chronométrés leurs actions avec des événements réels pour augmenter la crédibilité de l'appât. De plus, l'utilisation d'infrastructures protégées par des tiers et la géofente du trafic démontrent que les agresseurs investissent dans des opérations à faible visibilité pour maintenir l'accès à long terme et recueillir des renseignements géopolitiques.
Du point de vue de la défense, il est crucial d'appliquer les correctifs et les mises à jour dès qu'ils sont disponibles (dans ce cas, mettre à jour WinRAR contre le CVE mentionné), de restreindre l'exécution automatique du contenu à partir de fichiers compressés ou de liens non vérifiés, de durcir les commandes de courrier électronique pour réduire le phishing de vitesse et de surveiller les signaux de DLL de chargement latéral et l'exécution de processus inhabituels dans les terminaux. Il est également recommandé d'examiner les configurations de proxy et de pare-feu pour détecter les modèles de connexion avec des services cloud légitimes qui peuvent être utilisés comme dépôts pour les charges malveillantes. Pour mieux comprendre le phénomène et les techniques utilisées, des cadres de référence tels que MITRE ATT & CK fournissent un contexte détaillé sur les tactiques et les techniques observées dans ce type de campagne : Attack.mitre.org.
Dans un scénario où l'information stratégique a une valeur directe sur la scène internationale, ces campagnes rappellent que la cybersécurité est un autre élément de la politique étrangère et de la sécurité nationale. Les équipes responsables de la diplomatie, de la défense et du maintien de l'ordre doivent supposer qu'il ne s'agit pas d'incidents isolés mais d'opérations soutenues et adaptatives, et concevoir des défenses qui combinent stationnement agile, formation du personnel et visibilité du réseau et du terminal pour détecter les premiers signaux avant que les intrusions ne deviennent des pénétrations à long terme.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...