Malgré les efforts pour corriger une vulnérabilité bien documentée, le logiciel WinRAR continue d’être exploité par des cybercriminels. Le groupe Amaranth Dragon, lié à des opérations de cyberespionnage chinoises, a été identifié comme l’un des principaux acteurs de ces attaques. Découvrez comment ces hackers opèrent et les implications pour la cybersécurité en Asie du Sud-Est.
L’essentiel à retenir
- La faille CVE-2025-8088 de WinRAR, corrigée en 2025, est toujours exploitée dans des campagnes d’espionnage.
- Le groupe Amaranth Dragon, affilié à APT41, cible principalement des entités gouvernementales en Asie du Sud-Est.
- Les attaques incluent l’utilisation de TGAmaranth RAT pour des communications sécurisées via Telegram.
Les origines de la vulnérabilité WinRAR
Déjà corrigée à l’été 2025, la faille WinRAR, référencée sous CVE-2025-8088, continue d’être activement exploitée. Cette vulnérabilité a été initialement détectée dans les fichiers de démarrage de Windows, permettant l’injection de scripts malveillants. Malgré les correctifs, elle reste un vecteur d’attaque privilégié pour de nombreux groupes de cybercriminels.
Amaranth Dragon et ses méthodes d’attaque
Amaranth Dragon, un acteur récemment identifié par Check Point, est lié au groupe APT41, connu pour ses opérations de cyberespionnage associées à la Chine. Depuis août 2025, ce groupe exploite la faille pour installer des scripts malveillants qui se déclenchent automatiquement à chaque démarrage de session. Les techniques incluent l’utilisation des Alternate Data Streams de NTFS, rendant les fichiers malveillants invisibles pour l’utilisateur.
Pour renforcer la persistance, une clé « Run » est parfois ajoutée dans le registre Windows. Cette sophistication démontre une connaissance approfondie des mécanismes internes de Windows par les hackers.
TGAmaranth RAT et ses capacités
Parmi les outils utilisés par Amaranth Dragon figure le TGAmaranth RAT, un malware capable de communiquer via Telegram, rendant difficile sa détection. Cette méthode ingénieuse masque les activités malveillantes en utilisant un bot comme canal de communication.
Le RAT offre diverses fonctionnalités, telles que le transfert de fichiers, la capture d’écran et l’analyse des processus actifs. Pour éviter la détection par les antivirus, il intègre des techniques d’évasion sophistiquées, ciblant spécifiquement les systèmes de surveillance comportementale.
Impact géographique et réponse de la communauté
Les campagnes de cyberespionnage menées par Amaranth Dragon se concentrent principalement sur des pays d’Asie du Sud-Est, notamment Singapour, la Thaïlande et les Philippines. Les attaques sont souvent adaptées aux contextes géopolitiques locaux, ce qui témoigne d’une stratégie très ciblée.
Malgré la portée régionale de ces attaques, la communauté internationale de cybersécurité reste en alerte. Les outils et méthodes utilisés par Amaranth Dragon pourraient facilement être adaptés pour cibler d’autres régions. Tant que WinRAR n’est pas mis à jour sur tous les systèmes, la menace persiste.
Le contexte autour d’Amaranth Dragon et APT41
Le groupe Amaranth Dragon s’inscrit dans la lignée des activités de cyberespionnage attribuées à APT41. Ce dernier est connu pour ses campagnes sophistiquées, souvent soutenues par des États, et qui ont ciblé diverses industries à travers le monde.
APT41 n’est pas le seul groupe de ce type. D’autres acteurs comme APT29, lié à la Russie, ou APT34, associé à l’Iran, mènent également des opérations similaires, chacun avec ses propres méthodes et cibles. Ces groupes représentent une menace persistante pour la sécurité mondiale, exploitant des vulnérabilités comme celle de WinRAR pour mener des attaques précises et destructrices.