POZOR! Čínski hackeri si našli cestu do našich zariadení. Robia to cez program, ktorý máš v počítači aj ty
Bezpečnostní analytici varujú, že čínska hackerská skupina Amaranth Dragon zneužíva kritickú zraniteľnosť WinRAR CVE-2025-8088 na tiché infikovanie systémov a kybernetickú špionáž po celom svete.
Na scéne kybernetickej špionáže sa objavila nová skupina s názvom Amaranth Dragon, ktorá podľa výskumu firmy Check Point úzko súvisí s čínskou štátom podporovanou aktivitou APT41.
Hackeri zneužili známu zraniteľnosť CVE-2025-8088 vo WinRAR-e a cielili napríklad na vládne a policajné agentúry v juhovýchodnej Ázii. Útoky sa ale objavili po celom svete, dodáva Bleeping Computer.
„Amaranth Dragon ukazuje vysokú technickú zručnosť a disciplínu,“ uviedli experti z Check Point: „Dokážu rýchlo adaptovať svoje taktiky a infraštruktúru tak, aby maximalizovali dopad na cieľ.“
Skupina kombinovala legitímne nástroje s vlastným Amaranth Loaderom, aby doručila šifrované payloady z príkazovo-riadených serverov (C2) ukrytých za službou Cloudflare. Táto kombinácia umožňuje presnejšie zacielenie a zvyšuje šance, že útok prebehne bez odhalenia. Inými slovami, útok sa maskuje ako bežná prevádzka na internete, takže antivírusy a firemné ochrany ho často nevyhodnotia ako hrozbu.
Pred augustom 2025 používala skupina ZIP archívy s .LNK a .BAT súbormi, ktoré obsahovali skripty na dešifrovanie a spustenie loadera. Po zverejnení exploitov pre CVE-2025-8088 dokázali hackeri umiestniť škodlivý skript priamo do Windows Startup folderu. Pre istotu vytvorili aj záznamy v Registry Run key, aby sa malware spúšťal aj po reštarte.
Loader potom načítal AES-šifrovaný payload z externého URL a dešifroval ho priamo v pamäti. Väčšinou išlo o Havoc C2 post-exploitation framework, známy z útokov od roku 2023 a využívaný aj pri ClickFix operáciách.
Neprehliadni
Nová verzia útoku: TGAmaranth RAT
Check Point pozoroval, že najnovšie kampane skupiny nasadzujú aj TGAmaranth RAT. Ide o diaľkový prístupový nástroj, ktorý používa Telegram bot na komunikáciu s C2 servermi. RAT umožňuje nahrávať a sťahovať súbory, robiť screenshoty a zisťovať bežiace procesy.
TGAmaranth implementuje rôzne obranné mechanizmy proti antivírusom, EDR riešeniam a ladeniu. Napríklad nahrádza systémovú knižnicu ntdll.dll nepoškodenou verziou, aby predišlo detekcii škodlivého kódu.
„Používanie C2 serverov za Cloudflare a prísne geoblokovanie ukazuje, že táto skupina cieli veľmi selektívne,“ komentoval Bill Toulas, autor správy: „Útočníci majú jasnú stratégiu a dokážu presne plánovať kampaň podľa regiónu.“
Amaranth Dragon cieli najmä na organizácie v Singapure, Thajsku, Indonézii, Kambodži, Laose a na Filipínach. Treba však varovať, že hoci hackeri z Amaranth Dragon útočia hlavne v Ázii, objavená slabina CVE-2025-8088 nie je viazaná regionálne. Momentálne ju zneužívajú aj iné hackerské skupiny, ktoré útočia v iných kútoch sveta, aj v Európe. Útoky často využívajú lokálne alebo geopolitické témy ako návnadu, aby obeť otvorila infikované archívy.
Zraniteľnosť CVE-2025-8088 umožňuje škodlivému súboru zapísať sa do ľubovoľného miesta v systéme Windows cez Alternate Data Streams. Od polovice minulého roka je využívaná viacerými skupinami, vrátane RomCom, APT44, Turla a ďalšími.
Takto sa môžeš chrániť
Firmy a organizácie by mali okamžite aktualizovať WinRAR na verziu 7.13 alebo vyššiu (aktuálna je 7.20), ktorá zraniteľnosť opravuje. Check Point zároveň poskytuje indikátory kompromitácie, YARA pravidlá a zoznam URL, archívov a podporných súborov, ktoré môžu pomôcť pri detekcii útokov.
Hackeri ako Amaranth Dragon ukazujú, že štátmi podporovaní aktéri kombinujú klasické malware techniky so sofistikovanými metódami, aby sa vyhli odhaleniu a maximalizovali dopad na cieľ. Skupina dokáže flexibilne meniť útoky, zameranie a infraštruktúru podľa potreby, čo robí ich aktivity veľmi ťažko detegovateľnými.
„Tieto útoky nie sú náhodné,“ dodáva Toulas: „Sú premyslené, cielia presne a využívajú zraniteľnosti, ktoré sa dajú opraviť len rýchlou aktualizáciou softvéru.“
