Yoan AGOSTINI

Yoan AGOSTINI

1337 G33k

New Amaranth Dragon cyberespionage group exploits WinRAR flaw

2 minute de lecture

Mis à jour :

Amaranth Dragon : Une nouvelle menace utilise une faille WinRAR pour l’espionnage

Un groupe de cyberespionnage récemment identifié, baptisé Amaranth Dragon et potentiellement lié à des opérations parrainées par l’État chinois (APT41), a exploité une vulnérabilité critique dans le logiciel WinRAR pour mener des attaques ciblées. Ces opérations visaient des agences gouvernementales et des forces de l’ordre en Asie du Sud-Est, notamment à Singapour, en Thaïlande, en Indonésie, au Cambodge, au Laos et aux Philippines.

Les acteurs de la menace ont combiné des outils légitimes avec leur propre charge utile personnalisée, “Amaranth Loader”, pour délivrer des données chiffrées depuis des serveurs de commande et de contrôle (C2) dissimulés derrière l’infrastructure Cloudflare, augmentant ainsi la précision du ciblage et la furtivité. L’exploitation des vulnérabilités était orchestrée via des fichiers d’archives qui, une fois ouverts, pouvaient exécuter des scripts malveillants, notamment en plaçant des fichiers dans le dossier de démarrage de Windows ou en créant des clés de registre pour assurer la persistance. Le logiciel malveillant téléchargé utilisait souvent le framework de post-exploitation Havoc C2. Dans les attaques plus récentes, un nouvel outil d’accès à distance, TGAmaranth RAT, qui utilise un bot Telegram pour ses communications C2, a été observé. Ce RAT dispose de capacités avancées d’évasion et de fonctionnalités telles que le téléchargement/téléversement de fichiers et la prise de captures d’écran.

Points Clés :

  • Nouvel acteur de menace : Amaranth Dragon, potentiellement affilié à l’APT41.
  • Ciblage : Agences gouvernementales et forces de l’ordre en Asie du Sud-Est.
  • Méthode d’attaque : Exploitation de la vulnérabilité WinRAR pour la persistance, usage d’un chargeur personnalisé (Amaranth Loader) et du framework Havoc C2 ou d’un nouveau RAT (TGAmaranth RAT).
  • Techniques : Utilisation de fichiers archives, scripts de décryptage, DLL-sideloading, et infrastructure C2 masquée.
  • Adaptabilité : Utilisation de thèmes d’actualité géopolitique et locale comme leurres et géorestrictions pour les attaques.

Vulnérabilités :

  • CVE-2025-8088 : Vulnérabilité dans WinRAR permettant l’écriture de fichiers à des emplacements arbitraires en exploitant la fonctionnalité “Alternate Data Streams” (ADS) de Windows. Cette faille est activement exploitée par plusieurs groupes depuis la mi-2025 pour assurer la persistance.

Recommandations :

  • Mettre à jour WinRAR : Il est fortement recommandé de mettre à jour WinRAR vers la version 7.13 ou ultérieure (la dernière version étant 7.20 au moment de la publication) pour corriger la faille CVE-2025-8088.
  • Surveillance des indicateurs de compromission (IoC) : Les organisations sont encouragées à utiliser les IoC fournis par les chercheurs (fichiers d’archives, URL, fichiers de support, règles YARA) pour détecter d’éventuelles intrusions.

Source

Vous pourriez aimer