- Amaranth Dragon, terkait dengan APT41, bergabung dengan kelompok yang mengeksploitasi WinRAR CVE-2025-8088
- Targetnya mencakup organisasi-organisasi di Asia Tenggara yang menggunakan custom loader dan server bermask Cloudflare
- Kerentanan disalahgunakan sejak pertengahan tahun 2025 oleh berbagai aktor negara, dengan malware yang disembunyikan melalui Aliran Data Alternatif
Kami sekarang dapat menambahkan Amaranth Dragon ke daftar aktor yang disponsori negara Tiongkok yang menyalahgunakan kerentanan WinRAR yang baru ditemukan.
Peneliti keamanan Check Point mengatakan mereka melihat serangan datang dari kelompok ini, menargetkan organisasi di Singapura, Thailand, Indonesia, Kamboja, Laos, dan Filipina.
Pada akhir Januari 2026, tersiar kabar bahwa WinRAR, program pengarsipan Windows yang ikonik, memiliki kerentanan dengan tingkat keparahan tinggi yang memungkinkan pelaku ancaman mengeksekusi kode arbitrer pada titik akhir yang disusupi. Bug tersebut digambarkan sebagai cacat penjelajahan jalur, memengaruhi versi 7.12 dan yang lebih lama. Penyakit ini dilacak sebagai CVE-2025-8088, dengan skor tingkat keparahan 8,4/10 (tinggi).
Ketika kerentanan pertama kali ditemukan, beberapa lembaga keamanan memperingatkan bahwa kerentanan tersebut disalahgunakan oleh banyak pelaku ancaman – baik yang disponsori negara maupun yang lainnya. Kini, laporan baru mengatakan bahwa di antara mereka adalah Amaranth Dragon, aktor ancaman yang diduga terkait dengan APT41. Grup ini menggunakan gabungan alat yang sah dan pemuat khusus, yang menyebarkan muatan terenkripsi dari server yang tersembunyi di balik infrastruktur Cloudflare.
Laporan sebelumnya mengatakan bahwa RomCom, sebuah kelompok yang bersekutu dengan pemerintah Rusia, menyalahgunakan bug ini untuk menyebarkan NESTPACKER melawan unit militer Ukraina. Beberapa peneliti juga menyebutkan APT44 dan Turla, Carpathian, dan beberapa aktor Tiongkok yang menjatuhkan malware POISONIVY.
GoogleGrup Intelijen Ancaman (GTIG), keamanan siber lengan yang sebagian besar melacak penyerang yang disponsori negara, mengatakan tanda-tanda pelanggaran paling awal terlihat pada pertengahan Juli 2025. Sejak itu, peretas menggunakan fitur Alternate Data Streams (ADS) di WinRAR untuk menulis perangkat lunak perusak ke lokasi sewenang-wenang di perangkat target. Amaranth Dragon tampaknya mulai menggunakan bug ini pada pertengahan Agustus tahun lalu, hanya beberapa hari setelah eksploitasi pertama dipublikasikan.
“Meskipun pengguna biasanya melihat dokumen umpan, seperti PDF, di dalam arsip, ada juga entri ADS berbahaya, beberapa berisi muatan tersembunyi sementara yang lain merupakan data tiruan,” kata Google.
Melalui BleepingComputer
Antivirus terbaik untuk semua anggaran
Ikuti TechRadar di Google Berita Dan tambahkan kami sebagai sumber pilihan untuk mendapatkan berita, ulasan, dan opini pakar kami di feed Anda. Pastikan untuk mengklik tombol Ikuti!
Dan tentu saja Anda juga bisa Ikuti TechRadar di TikTok untuk berita, review, unboxing dalam bentuk video, dan dapatkan update rutin dari kami Ada apa juga.
