Amaranth Dragon ha emergido como un actor significativo en las operaciones de ciberespionaje dirigidas por actores chinos. Seg\u00fan Check Point, desde el 18 de agosto de 2025, este grupo ha comenzado a explotar una vulnerabilidad cr\u00edtica, denominada CVE-2025-8088. Esta explotaci\u00f3n comenz\u00f3 poco despu\u00e9s de la disponibilidad de un exploit funcional, indicando su r\u00e1pida capacidad para aprovechar nuevas vulnerabilidades.<\/p>\n
Al igual que otros grupos de cibercriminalidad en los \u00faltimos meses, Amaranth Dragon utiliza esta vulnerabilidad para insertar un script malicioso en el directorio de inicio de Windows. Esta estrategia implica el aprovechamiento de los Alternate Data Streams<\/strong> del sistema de archivos NTFS, que permite ocultar datos en archivos de forma que el usuario no pueda detectarlos. El hecho de que el script resida en el directorio de inicio asegura su ejecuci\u00f3n autom\u00e1tica al iniciar sesi\u00f3n. En algunos casos, se agrega una clave “Run” en el registro de Windows para reforzar la persistencia del malware.<\/p>\n El script malicioso, una vez ejecutado, habilita la descarga de un archivo firmado digitalmente que activa el \u201cAmaranth Loader\u201d, un cargador desarrollado por el grupo. Esta carga se orquesta mediante un distracci\u00f3n de carga de DLL<\/strong>, tras lo cual se obtiene una carga \u00fatil cifrada \u2014frecuentemente utilizando AES\u2014 que es recuperada de forma remota y descomprimida en la memoria del sistema de la v\u00edctima. La carga \u00fatil observada en muchos casos corresponde al framework Havoc C2<\/strong>, un sistema de post-explotaci\u00f3n leg\u00edtima que ha sido desviado para prop\u00f3sitos ofensivos.<\/p>\n Check Point ha identificado tambi\u00e9n el uso de un nuevo Troyano de Acceso Remoto (RAT)<\/strong>, conocido como TGAmaranth RAT. Esta herramienta es capaz de transferir archivos, registrar capturas de pantalla y listar procesos activos en dispositivos comprometidos. Una de sus caracter\u00edsticas distintivas es su canal de comunicaci\u00f3n, que se establece a trav\u00e9s de un bot de Telegram, utilizado como interfaz de comando y control (C2). Para evitar la detecci\u00f3n, el RAT implementa m\u00faltiples t\u00e9cnicas de evasi\u00f3n, incluyendo m\u00e9todos que desactivan algunas funciones de monitoreo de antivirus y soluciones EDR.<\/p>\n La infraestructura de Amaranth Dragon est\u00e1 dise\u00f1ada para mantener el control sobre sus operaciones. Los servidores C2 est\u00e1n ocultos detr\u00e1s de Cloudflare<\/strong>, con configuraciones que limitan la aceptaci\u00f3n de conexiones solo a regiones espec\u00edficas de inter\u00e9s. Este enfoque no solo mejora su seguridad, sino que tambi\u00e9n permite a los operadores dirigir sus campa\u00f1as de manera m\u00e1s eficaz.<\/p>\n Hasta el momento, las operaciones documentadas han afectado a pa\u00edses como Singapur, Tailandia, Indonesia, Camboya, Laos<\/strong> y Filipinas<\/strong>. Las campa\u00f1as parecen estar limitadas a uno o dos pa\u00edses a la vez, adapt\u00e1ndose a la actualidad local y a las din\u00e1micas geopol\u00edticas espec\u00edficas. Este enfoque sugiere un objetivo estrat\u00e9gico m\u00e1s all\u00e1 del simple robo de informaci\u00f3n; en cambio, se inscribe en una narrativa m\u00e1s amplia de ciberespionaje que busca influir en regiones clave para los intereses del estado.<\/p>\n Amaranth Dragon representa un actor tecnol\u00f3gico adversarial en la esfera del ciberespionaje, empleando t\u00e9cnicas sofisticadas y un enfoque adaptativo para eludir contramedidas de seguridad. La continuidad de su actividad sugiere que se avecinan desaf\u00edos significativos en el \u00e1mbito de la ciberseguridad para las naciones afectadas. La vigilancia constante y la implementaci\u00f3n de medidas de ciberdefensa proactivas son esenciales para mitigar el impacto de tales amenazas.<\/p>\nEl Proceso de Carga de Malware<\/h3>\n
Herramientas de Acceso Remoto<\/h3>\n
Infraestructura de Control<\/h3>\n
Objetivos Geopol\u00edticos<\/h3>\n
Conclusiones<\/h3>\n