Откройте архив — за вами присмотрят. Старый добрый WinRAR снова подвёл госслужащих
NewsMakerНезваные гости планируют задержаться в высоких кабинетах надолго.
В 2025 году в Юго-Восточной Азии заметно выросла активность кибершпионских операций, замаскированных под сообщения на фоне местной политики и событий в сфере безопасности. Такая привязка к актуальной повестке многократно повышает шанс, что адресаты откроют вредоносные вложения и запустят цепочку заражения.
Аналитики Check Point выделили ранее не описанный кластер под названием Amaranth-Dragon и связали его с экосистемой APT41. В числе целей назывались государственные структуры и правоохранительные органы Камбоджи, Таиланда, Лаоса, Индонезии, Сингапура и Филиппин. Отмечается, что операции были узко нацелены и рассчитаны на длительное закрепление в инфраструктуре ради сбора разведданных.
Ключевым элементом кампаний стало использование уязвимости CVE-2025-8088 в WinRAR, позволяющую выполнять произвольный код при открытии специально подготовленных архивов. Эксплуатацию начали фиксировать примерно через восемь дней после публичного раскрытия уязвимости в августе 2025 года, что, по мнению авторов отчёта, указывает на высокий уровень подготовки атакующих.
Первичный способ доставки пока не установлен, но характер приманок, связанных с политическими, экономическими и военными темами, указывает на адресные фишинговые письма . Вредоносные архивы размещались на известных облачных платформах, включая Dropbox, чтобы снизить подозрения и обойти периметровые средства защиты.
В 2025 году в Юго-Восточной Азии заметно выросла активность кибершпионских операций, замаскированных под сообщения на фоне местной политики и событий в сфере безопасности. Такая привязка к актуальной повестке многократно повышает шанс, что адресаты откроют вредоносные вложения и запустят цепочку заражения.
Аналитики Check Point выделили ранее не описанный кластер под названием Amaranth-Dragon и связали его с экосистемой APT41. В числе целей назывались государственные структуры и правоохранительные органы Камбоджи, Таиланда, Лаоса, Индонезии, Сингапура и Филиппин. Отмечается, что операции были узко нацелены и рассчитаны на длительное закрепление в инфраструктуре ради сбора разведданных.
Ключевым элементом кампаний стало использование уязвимости CVE-2025-8088 в WinRAR, позволяющую выполнять произвольный код при открытии специально подготовленных архивов. Эксплуатацию начали фиксировать примерно через восемь дней после публичного раскрытия уязвимости в августе 2025 года, что, по мнению авторов отчёта, указывает на высокий уровень подготовки атакующих.
Первичный способ доставки пока не установлен, но характер приманок, связанных с политическими, экономическими и военными темами, указывает на адресные фишинговые письма . Вредоносные архивы размещались на известных облачных платформах, включая Dropbox, чтобы снизить подозрения и обойти периметровые средства защиты.