Amaranth-Dragon: Weaponizing CVE-2025-8088 for Targeted Espionage in the Southeast Asia

1 minute de lecture

Mis à jour : February 05, 2026

Amaranth-Dragon : Cyber-espionnage Ciblé en Asie du Sud-Est

Des campagnes d’espionnage ciblées ont été menées en 2025 par un groupe d’acteurs malveillants dénommé “Amaranth-Dragon”, qui présente des liens avec le groupe chinois APT-41. Ces campagnes visaient spécifiquement des agences gouvernementales et des forces de l’ordre en Asie du Sud-Est. L’utilisation de thèmes et de documents d’appât coïncidant avec des événements géopolitiques locaux a été observée, augmentant la probabilité de succès des attaques.

Points Clés :

Ciblage géographique : Asie du Sud-Est (Cambodge, Thaïlande, Laos, Indonésie, Singapour, Philippines).
Ciblage sectoriel : Agences gouvernementales, forces de l’ordre (police).
Thèmes des attaques : Liés à des événements géopolitiques et politiques locaux.
Outils et techniques : Utilisation du chargeur personnalisé “Amaranth Loader”, du framework de commande et contrôle (C2) “Havoc C2 Framework”, et d’un RAT basé sur Telegram (“TGAmaranth RAT”).
Infrastructure C2 : Serveurs protégés par Cloudflare et configurés pour répondre uniquement aux adresses IP des pays ciblés.
Outils de livraison : Archives RAR malveillantes, hébergement sur des services légitimes comme Dropbox.
Affiliation potentielle : Des similitudes techniques et des recoupements suggèrent un lien étroit avec le groupe APT-41, opérant dans le fuseau horaire UTC+8.

Vulnérabilités exploitées :

CVE-2025-8088 : Une vulnérabilité de type “path traversal” dans WinRAR permettant l’exécution de code arbitraire. Le groupe l’a rapidement exploitée moins de dix jours après sa divulgation publique.

Recommandations :

Gestion des vulnérabilités : Mettre à jour rapidement les logiciels pour corriger les vulnérabilités connues, en particulier celles affectant des logiciels couramment utilisés comme WinRAR.
Vigilance sur les pièces jointes : Examiner avec suspicion les archives et les documents reçus par email, surtout lorsqu’ils proviennent de sources inconnues ou non sollicitées.
Sécurité des terminaux : Mettre en place des solutions de sécurité robustes pour la détection et la prévention des menaces avancées (EDR, antivirus).
Surveillance du réseau : Monitorer le trafic réseau pour détecter des communications suspectes avec des infrastructures C2 inconnues.
Sensibilisation des utilisateurs : Former les utilisateurs aux risques liés au phishing et aux techniques d’ingénierie sociale.

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

Amaranth-Dragon: Weaponizing CVE-2025-8088 for Targeted Espionage in the Southeast Asia

Amaranth-Dragon : Cyber-espionnage Ciblé en Asie du Sud-Est

Partager sur

Vous pourriez aimer

UAT-10027 Targets U.S. Education and Healthcare with Dohdoor Backdoor

Campagne de cyberattaque : Dohdoor cible les secteurs de l’éducation et de la santé aux États-Unis

Trend Micro warns of critical Apex One code execution flaws

ThreatsDay Bulletin: Kali Linux + Claude, Chrome Crash Traps, WinRAR Flaws, LockBit & 15+ Stories

Tendances Récentes en Cybersécurité : Accélération des Attaques et Nouvelles Méthodes d’Infiltration

The CLAIR Model: A Synthesized Conceptual Framework for Mapping Critical Infrastructure Interdependencies [Guest Diary], (Wed, Feb 25th)