Les failles de sécurité numériques continuent de poser des risques importants, même après la publication de correctifs. La vulnérabilité de WinRAR, identifiée sous le code CVE-2025-8088, en est un exemple frappant. Alors que les correctifs sont disponibles depuis l’été 2025, des campagnes de cyberespionnage exploitent toujours cette faille, notamment par un acteur nommé Amaranth Dragon. Ce dernier serait lié à des opérations de cyberespionnage chinoises et cible des agences gouvernementales en Asie du Sud-Est. Découvrez comment ces attaques sont menées et quelles en sont les implications.
L’essentiel à retenir
- La vulnérabilité WinRAR CVE-2025-8088 est exploitée par Amaranth Dragon, un acteur lié à des opérations de cyberespionnage chinoises.
- Des techniques sophistiquées sont utilisées, notamment l’utilisation du framework Havoc C2 et du malware TGAmaranth RAT.
- Les campagnes ciblent principalement des pays d’Asie du Sud-Est, avec une infrastructure dissimulée derrière Cloudflare pour échapper à la détection.
Amaranth Dragon et la faille WinRAR
Amaranth Dragon est un acteur de cyberespionnage identifié par les chercheurs de Check Point, qui exploite la faille CVE-2025-8088 de WinRAR. Cette vulnérabilité, bien que corrigée en juillet 2025, continue d’être une arme de choix pour ce groupe. Suivi depuis mars 2025, Amaranth Dragon serait connecté au groupe APT41, connu pour ses liens avec des opérations de cyberespionnage chinoises. L’acteur cible spécifiquement des agences gouvernementales et des forces de l’ordre en Asie du Sud-Est.
Techniques d’attaque sophistiquées
Le groupe exploite la vulnérabilité de WinRAR pour insérer un script malveillant dans le dossier de démarrage de Windows, en utilisant les Alternate Data Streams de NTFS. Cela permet au script de s’exécuter automatiquement à chaque session. Pour renforcer la persistance, une clé « Run » est ajoutée dans la base de registre. Le script exécute ensuite un fichier signé numériquement, facilitant le chargement de leur propre loader, Amaranth Loader, par détournement de chargement de DLL.
Le groupe utilise également TGAmaranth RAT, un outil d’accès distant inédit, qui communique via Telegram. Ce malware est capable de transférer des fichiers, de capturer des écrans, et de lister les processus actifs, tout en évitant la détection par des techniques d’évasion sophistiquées.
Ciblage géographique et infrastructure
Les campagnes menées par Amaranth Dragon se concentrent sur des pays comme Singapour, la Thaïlande, l’Indonésie, le Cambodge, le Laos et les Philippines. Les attaques sont souvent limitées à un ou deux pays à la fois, avec des leurres adaptés à l’actualité locale. L’infrastructure est soigneusement dissimulée derrière Cloudflare, acceptant uniquement les connexions provenant des régions visées.
Contexte historique et impact global
Le groupe APT41, associé à Amaranth Dragon, a été impliqué dans de nombreuses affaires de cyberespionnage, souvent attribuées à des opérations soutenues par des États. Les campagnes de ce groupe mettent en lumière la persistance des menaces cybernétiques, même après la divulgation publique des failles et la mise à disposition des correctifs. D’autres groupes, comme APT40 et APT10, ont également été impliqués dans des activités similaires, soulignant l’ampleur et la complexité de ces cyberattaques à l’échelle mondiale.
