Amaranth Dragon: Un Actor Clave en el Ciberespionaje Chino
La Vulnerabilidad CVE-2025-8088
Amaranth Dragon ha emergido como un actor significativo en las operaciones de ciberespionaje dirigidas por actores chinos. Según Check Point, desde el 18 de agosto de 2025, este grupo ha comenzado a explotar una vulnerabilidad crítica, denominada CVE-2025-8088. Esta explotación comenzó poco después de la disponibilidad de un exploit funcional, indicando su rápida capacidad para aprovechar nuevas vulnerabilidades.
Mecanismos de Infección
Al igual que otros grupos de cibercriminalidad en los últimos meses, Amaranth Dragon utiliza esta vulnerabilidad para insertar un script malicioso en el directorio de inicio de Windows. Esta estrategia implica el aprovechamiento de los Alternate Data Streams del sistema de archivos NTFS, que permite ocultar datos en archivos de forma que el usuario no pueda detectarlos. El hecho de que el script resida en el directorio de inicio asegura su ejecución automática al iniciar sesión. En algunos casos, se agrega una clave “Run” en el registro de Windows para reforzar la persistencia del malware.
El Proceso de Carga de Malware
El script malicioso, una vez ejecutado, habilita la descarga de un archivo firmado digitalmente que activa el “Amaranth Loader”, un cargador desarrollado por el grupo. Esta carga se orquesta mediante un distracción de carga de DLL, tras lo cual se obtiene una carga útil cifrada —frecuentemente utilizando AES— que es recuperada de forma remota y descomprimida en la memoria del sistema de la víctima. La carga útil observada en muchos casos corresponde al framework Havoc C2, un sistema de post-explotación legítima que ha sido desviado para propósitos ofensivos.
Herramientas de Acceso Remoto
Check Point ha identificado también el uso de un nuevo Troyano de Acceso Remoto (RAT), conocido como TGAmaranth RAT. Esta herramienta es capaz de transferir archivos, registrar capturas de pantalla y listar procesos activos en dispositivos comprometidos. Una de sus características distintivas es su canal de comunicación, que se establece a través de un bot de Telegram, utilizado como interfaz de comando y control (C2). Para evitar la detección, el RAT implementa múltiples técnicas de evasión, incluyendo métodos que desactivan algunas funciones de monitoreo de antivirus y soluciones EDR.
Infraestructura de Control
La infraestructura de Amaranth Dragon está diseñada para mantener el control sobre sus operaciones. Los servidores C2 están ocultos detrás de Cloudflare, con configuraciones que limitan la aceptación de conexiones solo a regiones específicas de interés. Este enfoque no solo mejora su seguridad, sino que también permite a los operadores dirigir sus campañas de manera más eficaz.
Objetivos Geopolíticos
Hasta el momento, las operaciones documentadas han afectado a países como Singapur, Tailandia, Indonesia, Camboya, Laos y Filipinas. Las campañas parecen estar limitadas a uno o dos países a la vez, adaptándose a la actualidad local y a las dinámicas geopolíticas específicas. Este enfoque sugiere un objetivo estratégico más allá del simple robo de información; en cambio, se inscribe en una narrativa más amplia de ciberespionaje que busca influir en regiones clave para los intereses del estado.
Conclusiones
Amaranth Dragon representa un actor tecnológico adversarial en la esfera del ciberespionaje, empleando técnicas sofisticadas y un enfoque adaptativo para eludir contramedidas de seguridad. La continuidad de su actividad sugiere que se avecinan desafíos significativos en el ámbito de la ciberseguridad para las naciones afectadas. La vigilancia constante y la implementación de medidas de ciberdefensa proactivas son esenciales para mitigar el impacto de tales amenazas.
About the Author
