¿Cómo explotan la vulnerabilidad CVE-2025-8088 en WinRAR?

El grupo envía archivos ZIP maliciosos que usan .LNK y .BAT para ejecutar su cargador, creando claves de registro y aprovechando DLL sideloading para desplegar cargas útiles como Havoc C2 y TGAmaranth RAT.

¿Qué es TGAmaranth RAT?

TGAmaranth RAT es un malware de control remoto que permite subir y descargar archivos, tomar capturas de pantalla, listar procesos y controlar sistemas comprometidos, usando un bot de Telegram para C2.

¿Qué medidas de defensa se recomiendan?

Actualizar WinRAR a la versión más reciente, implementar segmentación de red y geofencing inverso, monitorear IoCs, aplicar reglas YARA y capacitar equipos de seguridad en detección de RAT y técnicas de DLL sideloading.

El Grupo de Ciberespionaje Amaranth Dragon explota Vulnerabilidad de WinRAR | Noticias Hacking y Seguridad Informática

Q: ¿Quién es Amaranth Dragon?

Amaranth Dragon es un grupo de ciberespionaje vinculado a APT41, activo desde al menos marzo de 2025, especializado en ataques dirigidos a agencias gubernamentales y de seguridad en el sudeste asiático.

Q: ¿Por qué es peligrosa la vulnerabilidad CVE-2025-8088?

CVE-2025-8088 permite a los atacantes escribir archivos maliciosos en ubicaciones arbitrarias usando Alternate Data Streams (ADS) en Windows, facilitando persistencia y evasión de seguridad.

Un nuevo actor de amenazas, llamado Amaranth Dragon y vinculado a operaciones de APT41 patrocinadas por China; ha estado explotando una vulnerabilidad crítica en WinRAR (CVE-2025-8088) para ataques de ciberespionaje dirigidos a agencias gubernamentales y de seguridad.

Este artículo explica cómo funciona la amenaza, qué técnicas utiliza el grupo y cómo las organizaciones pueden protegerse.

¿Quién es Amaranth Dragon?

Amaranth Dragon es un grupo de ciberespionaje de alta capacidad técnica, activo desde al menos marzo de 2025, enfocado en países del sudeste asiático como:

Singapur
Tailandia
Indonesia
Camboya
Laos
Filipinas

El grupo combina herramientas legítimas con su cargador personalizado, Amaranth Loader, para desplegar cargas maliciosas cifradas desde servidores de C2 detrás de Cloudflare, aumentando la precisión y el sigilo de sus ataques.

Saber Más..

¿Cómo se explotó la vulnerabilidad?

Antes de la explotación de WinRAR, el grupo enviaba archivos ZIP con .LNK y .BAT que ejecutaban scripts para lanzar el cargador.
Tras la aparición de exploits para CVE-2025-8088, Amaranth Dragon pudo colocar scripts maliciosos en la carpeta de inicio de Windows.
Se creaban claves de registro de ejecución para persistencia adicional.
El cargador lanzaba ejecutables firmados digitalmente que ejecutaban la carga útil mediante DLL sideloading.

La carga útil era generalmente Havoc C2, un framework de post-explotación abusado desde 2023.

TGAmaranth RAT: La nueva herramienta de acceso remoto

En ataques recientes, Amaranth Dragon despliega TGAmaranth RAT, un malware de control remoto que:

Usa un bot de Telegram para C2
Permite subir/descargar archivos
Tomar capturas de pantalla
Listar procesos en ejecución

Además, implementa técnicas para evadir antivirus y EDR, incluyendo reemplazar la librería ntdll.dll hookeada por una copia limpia, dificultando la detección.

Estrategia de geofencing y sigilo

El grupo configura sus servidores C2 para aceptar tráfico solo de países específicos, evitando detección global y enfocando los ataques en objetivos concretos. Los lures utilizados están tematizados según eventos locales o geopolíticos.

Medidas de defensa recomendadas

Dada la explotación activa de CVE-2025-8088 por múltiples actores, se recomienda:

Actualizar WinRAR a la versión 7.13 o superior (última 7.20).
Implementar segmentación de red y geofencing inverso para filtrar conexiones no autorizadas.
Monitorear indicadores de compromiso (IoCs), incluyendo archivos, URLs y patrones de carga útil reportados por Check Point.
Aplicar YARA rules para detectar actividad de Amaranth Dragon en sistemas corporativos.
Capacitar equipos de seguridad en técnicas de detección de RAT y DLL sideloading.

La vulnerabilidad CVE-2025-8088 en WinRAR

La falla CVE-2025-8088 permite a los atacantes escribir archivos maliciosos en ubicaciones arbitrarias usando Alternate Data Streams (ADS) en Windows.

Conclusión

Los ataques de Amaranth Dragon muestran que grupos APT patrocinados por estados continúan perfeccionando tácticas de espionaje digital.

La combinación de exploits de software legítimo, técnicas de persistencia avanzadas y sigilo geográfico subraya la necesidad de actualizaciones constantes y vigilancia activa de seguridad en todas las organizaciones.