Bedreigingsactoren die banden hebben met China worden toegeschreven aan een nieuwe reeks cyberspionagecampagnes gericht op de overheid en wetshandhavingsinstanties in heel Zuidoost-Azië in de loop van 2025.
Check Point Research volgt het voorheen ongedocumenteerde activiteitencluster onder de naam Amarant-Draakwaarvan wordt gezegd dat het links deelt met het APT 41-ecosysteem. Doellanden zijn onder meer Cambodja, Thailand, Laos, Indonesië, Singapore en de Filippijnen.
“Veel van de campagnes waren zo getimed dat ze samenvielen met gevoelige lokale politieke ontwikkelingen, officiële overheidsbeslissingen of regionale veiligheidsgebeurtenissen”, aldus het cyberbeveiligingsbedrijf in een rapport gedeeld met The Hacker News. “Door kwaadaardige activiteiten in vertrouwde, actuele contexten te verankeren, vergrootten de aanvallers de kans aanzienlijk dat doelwitten zich met de inhoud zouden bezighouden.”
Het Israëlische bedrijf voegde eraan toe dat de aanvallen ‘nauw gericht’ en ‘nauw gefocust’ waren, wat duidt op inspanningen van de kant van de dreigingsactoren om op lange termijn volharding te bewerkstelligen voor het verzamelen van geopolitieke inlichtingen.
Het meest opvallende aspect van het vakmanschap van dreigingsactoren is de hoge mate van stealth, waarbij de campagnes ‘zeer gecontroleerd’ zijn en de aanvalsinfrastructuur zo is geconfigureerd dat deze alleen kan communiceren met slachtoffers in specifieke doellanden in een poging de blootstelling te minimaliseren.
Aanvalsketens die door de tegenstander zijn opgezet, blijken misbruik te maken van CVE-2025-8088, een nu gepatcht beveiligingsprobleem dat gevolgen heeft voor RARLAB WinRAR en dat willekeurige code-uitvoering mogelijk maakt wanneer speciaal vervaardigde archieven door doelwitten worden geopend. De exploitatie van de kwetsbaarheid werd ongeveer acht dagen na de publieke onthulling in augustus waargenomen.
“De groep verspreidde een kwaadaardig RAR-bestand dat misbruik maakt van de CVE-2025-8088-kwetsbaarheid, waardoor willekeurige code kan worden uitgevoerd en de persistentie op de besmette machine behouden blijft. De snelheid en het vertrouwen waarmee deze kwetsbaarheid werd geoperationaliseerd onderstreept de technische volwassenheid en paraatheid van de groep.”
Hoewel de exacte initiële toegangsvector in dit stadium nog onbekend is, suggereert het zeer gerichte karakter van de campagnes, in combinatie met het gebruik van op maat gemaakte lokmiddelen die verband houden met politieke, economische of militaire ontwikkelingen in de regio, het gebruik van spearphishing-e-mails om de archiefbestanden te verspreiden die worden gehost op bekende cloudplatforms zoals Dropbox om de argwaan te verminderen en de traditionele perimeterverdediging te omzeilen.
Het archief bevat verschillende bestanden, waaronder een kwaadaardige DLL met de naam Amaranth Loader die wordt gelanceerd door middel van side-loading van DLL’s, een andere tactiek die al lang de voorkeur geniet onder Chinese bedreigingsactoren. De lader vertoont overeenkomsten met tools als DodgeBox, DUSTPAN (ook bekend als StealthVector) en DUSTTRAP, waarvan eerder is vastgesteld dat ze worden gebruikt door de hackers van APt41.
Eenmaal uitgevoerd, is de lader ontworpen om contact op te nemen met een externe server om een coderingssleutel op te halen, die vervolgens wordt gebruikt om een gecodeerde payload te decoderen die is opgehaald van een andere URL en deze rechtstreeks in het geheugen uit te voeren. De laatste lading die als onderdeel van de aanval wordt ingezet, is het open-source command-and-control (C2 of C&C) raamwerk dat bekend staat als Havoc.
Daarentegen maakten vroege iteraties van de campagne die in maart 2025 werden gedetecteerd, gebruik van ZIP-bestanden met Windows-snelkoppelingen (LNK) en batch (BAT) om de Amaranth Loader te decoderen en uit te voeren met behulp van DLL-side-loading. Een soortgelijke aanvalsreeks werd ook geïdentificeerd tijdens een campagne eind oktober 2025, waarbij kunstaas werd gebruikt dat verband hield met de kustwacht van de Filipijnen.
In een andere campagne die begin september 2025 op Indonesië was gericht, kozen de bedreigingsactoren ervoor om een met een wachtwoord beveiligd RAR-archief vanuit Dropbox te distribueren om zo een volledig functionele trojan voor externe toegang (RAT) met de codenaam TGAmaranth RAT te leveren in plaats van Amaranth Loader die gebruikmaakt van een hardgecodeerde Telegram-bot voor C2.
Naast het implementeren van anti-debugging- en antivirustechnieken om analyse en detectie te weerstaan, ondersteunt de RAT de volgende opdrachten:
- /start, om een lijst met actieve processen van de geïnfecteerde machine naar de bot te sturen
- /screenshot, om een screenshot vast te leggen en te uploaden
- /shell, om een gespecificeerd commando uit te voeren op de geïnfecteerde machine en de uitvoer te exfiltreren
- /download, om een opgegeven bestand van de geïnfecteerde machine te downloaden
- /upload, om een bestand naar de geïnfecteerde machine te uploaden
Bovendien wordt de C2-infrastructuur beveiligd door Cloudflare en geconfigureerd om alleen verkeer te accepteren van IP-adressen binnen het specifieke land of de specifieke landen waarop elke operatie gericht is. De activiteit illustreert ook hoe geavanceerde dreigingsactoren legitieme, vertrouwde infrastructuur bewapenen om gerichte aanvallen uit te voeren terwijl ze clandestien operationeel blijven.
De links van Amaranth-Dragon met APT41 komen voort uit overlappingen in het malwarearsenaal, wat verwijst naar een mogelijke verbinding of gedeelde bronnen tussen de twee clusters. Het is vermeldenswaard dat Chinese dreigingsactoren bekend staan om het delen van tools, technieken en infrastructuur.
“Bovendien weerspiegelt de ontwikkelingsstijl, zoals het creëren van nieuwe threads binnen exportfuncties om kwaadaardige code uit te voeren, nauw de gevestigde APT41-praktijken”, aldus Check Point.
“Compilatietijdstempels, campagnetiming en infrastructuurbeheer wijzen allemaal op een gedisciplineerd, goed uitgerust team dat opereert in de UTC+8-zone (China Standard Time). Alles bij elkaar suggereren deze technische en operationele overlappingen sterk dat Amaranth-Dragon nauw verbonden is met, of deel uitmaakt van, het APT41-ecosysteem, en de gevestigde patronen van targeting en toolontwikkeling in de regio voortzet.”
Mustang Panda levert PlugX-variant in nieuwe campagne
De onthulling komt op het moment dat het in Tel Aviv gevestigde cyberbeveiligingsbedrijf Dream Research Labs een campagne heeft uitgewerkt die werd georkestreerd door een andere Chinese natiestatengroep, gevolgd als Mustang Panda, en die zich richtte op functionarissen die betrokken waren bij diplomatie, verkiezingen en internationale coördinatie in meerdere regio’s tussen december 2025 en half januari 2026. De activiteit heeft de naam gekregen. PlugX-diplomatie.
“In plaats van kwetsbaarheden in de software te exploiteren, was de operatie gebaseerd op nabootsing van identiteit en vertrouwen”, aldus het bedrijf. “Slachtoffers werden ertoe verleid om bestanden te openen die aan de VS gelinkte diplomatieke samenvattingen of beleidsdocumenten leken te zijn. Het openen van het bestand alleen was voldoende om het compromis in gang te zetten.”
De documenten maken de weg vrij voor de implementatie van een aangepaste variant van PlugX, een al lang bestaande malware die door de hackgroep wordt gebruikt om heimelijk gegevens te verzamelen en permanente toegang tot gecompromitteerde hosts mogelijk te maken. De variant, genaamd DOPLUGS, is in ieder geval sinds eind december 2022 in het wild aangetroffen.
De aanvalsketens zijn redelijk consistent in die zin dat kwaadaardige ZIP-bijlagen rond officiële bijeenkomsten, verkiezingen en internationale fora fungeren als katalysator voor het tot ontploffing brengen van een meerstatenproces. In het gecomprimeerde bestand is één enkel LNK-bestand aanwezig dat, wanneer het wordt gestart, de uitvoering van een PowerShell-opdracht activeert die een TAR-archief uitpakt en neerzet.
“De ingebedde PowerShell-logica zoekt recursief naar het ZIP-archief, leest het als onbewerkte bytes en extraheert een payload die begint bij een vaste byte-offset”, legt Dream uit. “De gesneden gegevens worden naar schijf geschreven met behulp van een versluierde aanroep van de WriteAllBytes-methode. De geëxtraheerde gegevens worden behandeld als een TAR-archief en uitgepakt met behulp van het eigen hulpprogramma tar.exe, wat een consistent gebruik van living-off-the-land binaries (LOLBins) gedurende de infectieketen aantoont.”
Het TAR-archief bevat drie bestanden –
- Een legitiem ondertekend uitvoerbaar bestand dat is gekoppeld aan AOMEI Backupper is kwetsbaar voor het kapen van DLL-zoekopdrachten (“RemoveBackupper.exe”)
- Een gecodeerd bestand dat de PlugX-payload bevat (“backupper.dat”)
- Een kwaadaardige DLL die wordt sideload met behulp van het uitvoerbare bestand (“comn.dll”) om PlugX te laden
Bij de uitvoering van het legitieme uitvoerbare bestand wordt aan de gebruiker een lok-PDF-document getoond om bij het slachtoffer de indruk te wekken dat er niets aan de hand is, terwijl DOPLUGS op de achtergrond op de host is geïnstalleerd.
“De correlatie tussen daadwerkelijke diplomatieke gebeurtenissen en de timing van gedetecteerde lokmiddelen suggereert dat soortgelijke campagnes waarschijnlijk zullen blijven voortduren naarmate de geopolitieke ontwikkelingen zich ontvouwen”, concludeerde Dream.
“Entiteiten die actief zijn in diplomatieke, overheids- en beleidsgeoriënteerde sectoren moeten daarom kwaadaardige LNK-distributiemethoden en het kapen van DLL-zoekopdrachten via legitieme uitvoerbare bestanden beschouwen als aanhoudende bedreigingen met hoge prioriteit in plaats van geïsoleerde of vluchtige tactieken.”
