Yoan AGOSTINI

Yoan AGOSTINI

1337 G33k

China-Linked Amaranth-Dragon Exploits WinRAR Flaw in Espionage Campaigns

2 minute de lecture

Mis à jour :

Exploitation de Vulnérabilités Logiciels par des Acteurs Liés à la Chine

Des campagnes de cyberespionnage sophistiquées, attribuées à des groupes basés en Chine, ont ciblé des organismes gouvernementaux et d’application de la loi en Asie du Sud-Est. Ces opérations, suivies sous le nom d’Amaranth-Dragon, montrent des liens avec l’écosystème APT41 et sont synchronisées avec des événements politiques régionaux sensibles pour accroître la probabilité d’engagement des victimes.

Les acteurs de la menace font preuve d’une grande discrétion, limitant leur infrastructure à interagir uniquement avec les cibles géographiques spécifiées afin de minimiser leur exposition. Les chaînes d’attaque observées exploitent une vulnérabilité logicielle connue, et l’exploitation a été constatée peu de temps après sa divulgation publique.

Points Clés

  • Cible Géographique : Cambodge, Thaïlande, Laos, Indonésie, Singapour, Philippines.
  • Objectif : Collecte de renseignements géopolitiques à long terme.
  • Techniques Employées : Exploitation de vulnérabilités logicielles, hameçonnage ciblé (spear-phishing), utilisation de services de stockage cloud légitimes (Dropbox), chargement de DLL (DLL side-loading), utilisation de frameworks de commande et de contrôle (C2) open-source comme Havoc, et un cheval de Troie d’accès à distance (RAT) personnalisé (TGAmaranth RAT) utilisant Telegram pour le C2.
  • Liens avec APT41 : Partage d’arsenaux de logiciels malveillants, similitudes dans les pratiques de développement et la gestion de l’infrastructure, opérant dans le fuseau horaire UTC+8.
  • Activité Connexe : Une campagne distincte, attribuée à Mustang Panda (PlugX Diplomacy), utilise l’usurpation d’identité et des documents leurres liés à la diplomatie et aux forums internationaux pour déployer une variante de PlugX (DOPLUGS).

Vulnérabilités

  • CVE-2025-8088 : Une faille de sécurité dans WinRAR qui permet l’exécution de code arbitraire lors de l’ouverture d’archives spécialement conçues. Cette vulnérabilité a été rapidement exploitée par Amaranth-Dragon.
  • Défaut de sécurité dans AOMEI Backupper : Une vulnérabilité de détournement de l’ordre de recherche des DLL (DLL search-order hijacking) dans l’exécutable “RemoveBackupper.exe”, utilisée pour charger une DLL malveillante (“comn.dll”) et déployer PlugX.

Recommandations

  • Mise à jour des logiciels : Assurer que tous les logiciels, en particulier les logiciels d’archivage comme WinRAR, sont maintenus à jour avec les derniers correctifs de sécurité.
  • Vigilance face au hameçonnage : Faire preuve d’une extrême prudence avec les e-mails, les pièces jointes et les liens, surtout lorsqu’ils proviennent de sources inconnues ou semblent liés à des événements d’actualité sensibles.
  • Inspection des archives et des exécutables : Être attentif aux archives ou aux fichiers suspects, même s’ils proviennent de sources apparemment légitimes.
  • Surveillance des techniques d’exécution : Être conscient des méthodes telles que le chargement de DLL et l’utilisation de scripts PowerShell ou de fichiers LNK malveillants.
  • Sécurisation de l’infrastructure : Les entités gouvernementales et diplomatiques devraient considérer les menaces impliquant la distribution de fichiers LNK malveillants et le détournement de DLL comme des risques persistants de haute priorité.
  • Connaissance des menaces : Se tenir informé des nouvelles campagnes et des tactiques utilisées par les groupes de menaces connus, tels qu’Amaranth-Dragon et Mustang Panda.

Source

Vous pourriez aimer