Ao longo de 2025 foi detectada uma nova onda de campanhas de ciber-espionagem que aponta especificamente organismos governamentais e forças da ordem no sudeste asiático. A assinatura de segurança Check Point identificou este conjunto de operações como Amaranth-Dragon, um agrupamento que, por seu arsenal e modus operandi, parece estar ligado ao ecossistema conhecido como APT41. Os países com objectivos incluem Cambodia, Tailândia, Laos, Indonésia, Singapura e Filipinas, e as intrusões caracterizam-se pelo seu elevado grau de sigilo e por estarem cuidadosamente cronometrados com acontecimentos políticos e de segurança regionais. O relatório técnico do Check Point pode ser consultado no seu estudo público sobre estas operações nesta ligação: research. checkpoint.com.
A peça central de muitas dessas campanhas tem sido a exploração de uma vulnerabilidade em WinRAR, identificada como CVE-2025-8088, que permite a execução remota do código quando um ficheiro especialmente preparado é aberto pela vítima. Segundo os pesquisadores, os atacantes ativaram exploits contra essa falha apenas dias após sua divulgação pública, o que demonstra capacidade operacional rápida e preparação técnica. A mitigação e o seguimento dessa vulnerabilidade estão registrados no repositório de CVE: CVE-2025-8088.
Quanto à mecânica do ataque, os pesquisadores descrevem um uso híbrido de técnicas: os adversários distribuem arquivos comprimidos alojados em serviços legítimos na nuvem, como o Dropbox, usando senheiros ligados a notícias ou decisões oficiais para aumentar a probabilidade de o destinatário abrir o arquivo. Dentro do arquivo malicioso é incluída uma biblioteca dinâmica (DLL) — o chamado Amaranth Loader — que é activa por DLL side‐loading, um método que aproveita executáveis legítimos para carregar bibliotecas maliciosas. O processo de carregamento inclui a transferência de uma chave, a obtenção de um payload encriptado de outro URL e a sua execução diretamente em memória; o controle final da máquina comprometida é colocado através do framework C2 de código aberto conhecido como Havoc (mais informações no seu repositório: github.com/HavocFramework/Havoc).
Nem todas as variantes usaram exatamente a mesma tática. Versões iniciais observadas no início de 2025 recorreram a arquivos ZIP com acessos diretos do Windows (LNK) e scripts por lotes (BAT) para desencadear a carga lateral do DLL. Em outra campanha dirigida à Indonésia foi detectada a entrega de um troiano de acesso remoto apodado TGAmaranth RAT, distribuído através de um RAR protegido por senha e que usa um bot do Telegram com comandos predefinidos para exfiltrar informações, tirar capturas de tela ou transferir arquivos. Estas variantes costumam incorporar técnicas anti-análises e funcionalidades para evitar antivírus.
Uma característica operacional marcante nas intrusões de Amaranth-Dragon é a forma como a infraestrutura de comando e controle foi configurada para minimizar a exposição: os servidores C2 estavam protegidos pela Cloudflare e se programaram para aceitar conexões apenas de endereços IP pertencentes ao país ou países atacados, reduzindo assim a visibilidade e o risco de detecção fora da área alvo. Junto com marcas de compilação, fusos horários e gestão de infraestrutura, tudo isso aponta para uma equipe bem financiado e disciplinado que opera dentro da faixa horária UTC+8, segundo os analistas.
A atribuição a APT41 sustenta-se em sobreposições técnicas: similaridades em ferramentas, padrões de desenvolvimento de código - por exemplo, a criação de fios dentro de funções exportadas para executar código malicioso - e a reutilização de táticas como DLL side-loading. No entanto, é importante lembrar que entre atores atribuídos a um mesmo país costuma haver troca de ferramentas e técnicas, pelo que as fronteiras entre grupos podem ser difusas.
Paralelamente a este achado, outra assinatura —Dream Research Labs, com sede em Tel Aviv — documentou uma campanha diferente, denominada PlugX Diplomacy, atribuída ao ator conhecido como Mustang Panda. Nessa operação, os atacantes dispensaram exploits novos e apostaram na suplantação de confiança: anexos que simulam resumos diplomáticos ou documentos de política internacional bastavam para comprometer o destinatário. O vetor de execução girou também em torno de arquivos comprimidos que continham um único LNK. Ao executá-lo, foi lançado um comando PowerShell que extraia um TAR e colocou uma cadeia de arquivos que incluía um executável assinado vulnerável à busca de DLL, um DLL maliciosa e um arquivo criptografado com o payload de PlugX. O relatório do Dream está disponível aqui: dreamgroup.com. A técnica de aproveitamento de executáveis legítimos para carregar bibliotecas maliciosas está catalogada no marco ATT&CK como DLL side‐loading.
Ambas as ondas deixam lições claras para as administrações e organizações expostas: os atacantes combinam cogumelos contextualizados com abuso de serviços e binários legítimos para reduzir os sinais óbvios de compromisso, e cronometram suas ações com eventos reais para aumentar a credibilidade do cebo. Além disso, a utilização de infra-estruturas protegidas por terceiros e o geofencing de tráfego demonstram que os atacantes investem em operações de baixo perfil para manter acesso prolongado e recolher inteligência geopolitica.
A partir da perspectiva de defesa é crucial aplicar adesivos e atualizações assim que disponíveis (neste caso, atualizar WinRAR contra a CVE mencionada), restringir a execução automática de conteúdos de arquivos comprimidos ou links não verificados, endurecer controles de e-mail para reduzir spear-phishing e monitorar sinais de DLL side-loading e execução de processos incomuns em endpoints. Também é recomendável rever configurações de proxys e firewalls para detectar padrões de conexão com serviços de nuvem legítimos que possam estar sendo utilizados como repositórios para cargas maliciosas. Para entender melhor o fenômeno e as técnicas usadas, os marcos de referência como MITRE ATT&CK oferecem contexto detalhado sobre táticas e técnicas observadas neste tipo de campanhas: attack.mitre.org.
Em um cenário onde a informação estratégica tem valor direto na areia internacional, essas campanhas lembram que a cibersegurança é uma peça mais da política externa e da segurança nacional. Os equipamentos responsáveis pela diplomacia, defesa e ordem pública devem assumir que não se trata de incidentes isolados, mas sim de operações sustentadas e adaptativas, e conceber defesas que combinem adesivos ágils, formação do pessoal e visibilidade em rede e endpoint para detectar sinais precoces antes de as intrusões se tornarem penetrações de longo prazo.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...