Investigadores exponen un nuevo clúster de amenazas vinculado a APT41, que aprovecha la crisis política local y el almacenamiento en la nube para infiltrarse en agencias gubernamentales.
La geopolítica y el malware van de la mano. Hoy 4 de febrero de 2026, la identificación de un nuevo actor de amenazas denominado Amaranth Dragon (Dragón Amaranto). Este grupo, alineado con los intereses de Pekín, ha estado ejecutando una campaña de espionaje quirúrgica durante todo 2025, dirigida a gobiernos y fuerzas policiales en Tailandia, Indonesia, Filipinas, Singapur, Laos y Camboya.
Lo que distingue a este grupo no es solo su alineación política, sino su capacidad técnica para aprovechar vulnerabilidades recién reveladas. El reporte destaca que Amaranth Dragon comenzó a explotar la vulnerabilidad de WinRAR (CVE-2025-8088) apenas ocho días después de su divulgación pública en agosto, demostrando una agilidad operativa temible.
Tácticas: “Amaranth Loader” y Telegram
El arsenal del grupo es una mezcla de herramientas personalizadas y frameworks de código abierto, diseñadas para la persistencia a largo plazo:
- El Cebo: Utilizan documentos señuelo altamente específicos relacionados con eventos políticos locales o seguridad regional (como la Guardia Costera de Filipinas).
- La Infección:
- Vía WinRAR: Distribuyen archivos RAR maliciosos alojados en Dropbox. Al abrirse en una versión vulnerable de WinRAR, ejecutan código arbitrario.
- Vía DLL Sideloading: Utilizan archivos ZIP que contienen ejecutables legítimos y DLLs maliciosas. Al ejecutarse, cargan el Amaranth Loader, una herramienta que comparte código con malware conocido de APT41 (como DodgeBox).
- Payload Final: El objetivo es desplegar el framework de C2 Havoc (código abierto) o un Troyano de Acceso Remoto personalizado llamado TGAmaranth RAT, que utiliza Telegram como canal de comando y control para esconderse entre el tráfico cifrado legítimo.
Control Geográfico Estricto
Una característica única de Amaranth Dragon es su paranoia operacional.
- Su infraestructura de servidores (protegida por Cloudflare) está configurada para aceptar conexiones única y exclusivamente de direcciones IP de los países objetivo.
- Si un investigador de EE. UU. o Europa intenta analizar el malware, el servidor simplemente no responde, dificultando el análisis forense.
Mustang Panda: Diplomacia Falsa y “PlugX”
En un desarrollo paralelo, investigadores han revelado otra campaña china, esta vez del notorio grupo Mustang Panda, denominada “PlugX Diplomacy”.
- El Objetivo: Diplomáticos y funcionarios electorales.
- El Método: En lugar de exploits, usan confianza pura. Envían archivos ZIP que parecen resúmenes diplomáticos o documentos de política de EE. UU.
- El Malware: Al abrir el archivo, se inicia una cadena compleja que utiliza binarios legítimos del software AOMEI Backupper para cargar lateralmente una variante avanzada del malware PlugX (conocida como DOPLUGS).
- Persistencia: PlugX permite a los atacantes mantener acceso silencioso durante años, exfiltrando documentos y correos electrónicos sin ser detectados.
Recomendaciones
- Actualizar WinRAR: Si todavía usas WinRAR 6.x o anterior, eres vulnerable a la ejecución de código remota. Actualiza a la última versión o cambia a 7-Zip.
- Bloquear Tráfico C2: Monitorea y bloquea el tráfico hacia la API de Telegram (api.telegram.org) desde servidores críticos o estaciones de trabajo que no deberían usar mensajería.
- Inspección de Archivos LNK: Configura filtros de correo para poner en cuarentena archivos adjuntos ZIP que contengan archivos de acceso directo (.lnk), ya que son el vector de entrada preferido de Mustang Panda.
