Hack Alerta

Grupo Amaranth‑Dragon explora falha do WinRAR em campanhas de espionagem

Por Redação Hack Alerta Publicado em 04/02/2026 12:01 Cyber ataques Tempo de leitura: 3 min

Pesquisadores da Check Point Research atribuem ao cluster Amaranth‑Dragon — associado ao ecossistema APT41 — a exploração da falha CVE‑2025‑8088 no WinRAR em campanhas de espionagem contra órgãos governamentais e forças de segurança no Sudeste Asiático ao longo de 2025. Relatos descrevem execução remota via arquivos RAR maliciosos e estabelecimento de backdoors.

Introdução

Pesquisadores vinculam um novo cluster de espionagem, batizado Amaranth‑Dragon, à exploração da falha no WinRAR (CVE‑2025‑8088) em ataques dirigidos a órgãos governamentais e forças de segurança no Sudeste Asiático ao longo de 2025.

Descoberta e atribuição

Analistas da Check Point Research identificaram atividade dirigida por um conjunto até então não documentado e o chamaram de Amaranth‑Dragon. A investigação indica ligações com o ecossistema APT41. As vítimas relatadas incluem agências governamentais e entidades de aplicação da lei em países do Sudeste Asiático.

Vetor e técnica

Segundo os relatórios, os operadores exploraram uma vulnerabilidade no WinRAR (CVE‑2025‑8088) para inserir cargas úteis de espionagem. Fontes descrevem o uso do bug para obter execução remota em alvos, permitindo estabelecimento de backdoors e movimentação lateral. A exploração do componente de empacotamento/extração permitiu que arquivos maliciosos fossem entregues sem acionar verificações tradicionais em alguns cenários.

Evidências e limites

  • Atuação prolongada: as operações foram observadas ao longo de 2025, o que sugere campanhas com vários estágios.
  • Alvo específico: o padrão de vítimas (governo e aplicação da lei) indica objetivo de coleta de inteligência.
  • Fontes: o vínculo ao APT41 foi apontado pela Check Point Research e replicado em reportagens técnicas.

Impacto e alcance

Os impactos relatados são de caráter espionagem: comprometimento de comunicações internas, exfiltração de documentos e provável vigilância contínua. O alcance geográfico concentra‑se no Sudeste Asiático; não há, nos materiais disponíveis, indicações confiáveis de compromissos em organizações brasileiras.

Recomendações operacionais

  • Aplicar atualizações e mitigação para CVE‑2025‑8088 em instâncias que utilizam bibliotecas/softwares afetados e remover arquivos RAR provenientes de fontes não confiáveis.
  • Monitorar detecções de execução após descompactação de arquivos e alertas de criação de persistência inesperada.
  • Correlacionar telemetria com indicadores TTPs atribuídos à APT41 e consultar fornecedores de threat intelligence para artefatos IOCs.

O que falta

As publicações analisadas não detalham amostras completas dos payloads, nem fornecem um inventário público exaustivo das vítimas afetadas — informações que ajudariam a avaliar o escopo real da campanha. Também não há confirmação pública de exploração ativa em larga escala além do conjunto investigado pela Check Point Research.

Repercussão

Pesquisas que ligam agentes APT a vulnerabilidades amplamente usadas reforçam a necessidade de gestão de riscos centrada em atualizações, segmentação de rede e inspeção de artefatos. Organizações com exposição a arquivos compactados devem priorizar controles de prevenção e detecção.

Baseado em publicação original de The Hacker News
Tags: #winrar #amaranth-dragon #apt41 #espionagem #cve-2025-8088 #exploit #seasia #malware #security
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.
← Voltar