Malgré un correctif publié à l’été 2025, la faille de WinRAR se retrouve au cœur de nouvelles campagnes d’espionnage ciblées. Cette fois, les chercheurs de Check Point attribuent ces opérations à un acteur précis, baptisé Amaranth Dragon.
La semaine dernière, Google alertait sur la persistance des attaques exploitant CVE-2025-8088, une vulnérabilité WinRAR pourtant corrigée fin juillet 2025. L’analyse révélait alors une circulation très active de la faille à grande échelle, aussi bien du côté de groupes étatiques que de cybercriminels plus opportunistes diffusant RAT, stealers ou extensions malveillantes. Dans un nouveau rapport publié par Check Point, l’un de ces acteurs a désormais un nom. Suivi depuis mars 2025 par les chercheurs, Amaranth Dragon serait lié au groupe APT41, associé à des opérations de cyberespionnage chinoises, et viserait exclusivement des agences gouvernementales et des entités liées aux forces de l’ordre en Asie du Sud-Est.
Offre partenaire
Protection avancée des e-mails, des calendriers, des mots de passe, du réseau… de votre entreprise grâce à la suite d'applications professionnelles sécurisées.
Offre partenaire
Une exploitation structurée et ciblée
Selon Check Point, Amaranth Dragon aurait commencé à exploiter CVE-2025-8088 dès le 18 août 2025, soit quelques jours après la publication d’un premier exploit fonctionnel.
Comme d’autres groupes observés ces derniers mois, l’acteur tire parti de la vulnérabilité pour extraire un script malveillant dans le dossier de démarrage de Windows, en détournant le mécanisme des Alternate Data Streams du système de fichiers NTFS (fonctionnalité permettant d’associer des flux de données secondaires à un même fichier, et donc ici d’y dissimuler un contenu invisible pour l’utilisateur). Le choix du répertoire de démarrage permet d’assurer l’exécution automatique du script à chaque ouverture de session. Dans certains cas, une clé « Run » est également inscrite dans la base de registre pour renforcer la persistance du dispositif.
Ce script déclenche ensuite l’exécution d’un fichier signé numériquement, chargé de lancer le loader maison du groupe, Amaranth Loader, par détournement de chargement de DLL. La charge utile chiffrée (généralement en AES) est ensuite récupérée à distance et déchiffrée en mémoire. Dans de nombreux cas observés, il s’agit du framework Havoc C2, un outil de post-exploitation modulaire légitime, mais régulièrement détourné pour mener des campagnes offensives.
Check Point a par ailleurs identifié l’usage d’un outil d’accès distant inédit, TGAmaranth RAT, capable de transférer des fichiers, d’enregistrer des captures d’écran et de lister les processus actifs sur la machine compromise. Sa particularité tient à son canal de communication : le malware échange avec son opérateur via un bot Telegram utilisé comme interface C2. Pour éviter la détection, le RAT embarque plusieurs techniques d’évasion, dont une méthode visant à leurrer les antivirus et les solutions EDR en neutralisant certaines fonctions de surveillance comportementales.
L’ensemble de l’infrastructure est pensé pour rester sous contrôle. Les serveurs C2 sont dissimulés derrière Cloudflare, avec une configuration spécifique pour n’accepter que les connexions issues des régions ciblées.
À ce jour, les attaques documentées concernent Singapour, la Thaïlande, l’Indonésie, le Cambodge, le Laos et les Philippines. Les campagnes semblent limitées à un ou deux pays à la fois, avec des leurres adaptés à l’actualité locale ou à des enjeux géopolitiques spécifiques.
Un cas régional, mais un risque qui dépasse les frontières
Pour Check Point, le niveau de sophistication de l’ensemble, la vitesse d’adaptation aux outils disponibles et l’attention portée au ciblage géographique traduisent une forte discipline opérationnelle, conforme aux modes opératoires associés à l’écosystème APT41, un groupe historiquement lié à des opérations de cyberespionnage attribuées à la Chine.
Malgré son périmètre régional très restreint, cette campagne n’en reste pas moins instructive à plus d’un titre, puisqu’elle témoigne de la capacité d’un acteur structuré à intégrer rapidement une faille publique à une chaîne d’attaque, et à la déployer dans un cadre ciblé et filtré.
Comme le soulignait Google fin janvier, CVE-2025-8088 est également exploitée par d’autres groupes, étatiques ou non. Son mode d’exploitation est désormais bien connu, des chaînes prêtes à l’emploi circulent depuis plusieurs mois, et le marché noir regorge d’outils capables de les adapter à des scénarios plus opportunistes et plus larges.
Ce n’est donc pas parce qu’une campagne est géographiquement restreinte que la menace doit être considérée comme lointaine. Tant que WinRAR n’aura pas été mis à jour sur l’ensemble des systèmes exposés, les conditions techniques resteront réunies pour permettre à ce type d’attaque de se maintenir, en Asie comme ailleurs.
Source : Check Point
