Grupos de hackers vinculados ao governo chinês intensificaram operações de espionagem contra agências governamentais e de segurança no Sudeste Asiático durante 2025, segundo revelam pesquisadores de cibersegurança. As campanhas, executadas com precisão cirúrgica, demonstram evolução técnica significativa e coordenação estratégica sem precedentes.
A Check Point Research identificou o grupo responsável como Amaranth-Dragon, com fortes conexões ao ecossistema APT41, coletivo já conhecido por operações de espionagem de longa duração.
Os alvos incluem Camboja, Tailândia, Laos, Indonésia, Singapura e Filipinas, sempre sincronizados com eventos políticos sensíveis, decisões governamentais ou conferências de segurança regional.
O diferencial destas operações está no timing milimétrico. Ao ancorar ataques em contextos familiares e atuais que os alvos acompanham profissionalmente, os atacantes aumentam drasticamente as chances de sucesso. A infraestrutura é configurada para interagir apenas com vítimas em países específicos, minimizando exposição e dificultando investigações.
Apenas oito dias após a divulgação pública da falha CVE-2025-8088 no WinRAR, o grupo já a incorporava em suas campanhas. Arquivos compactados maliciosos são distribuídos via e-mails de spear-phishing altamente personalizados, hospedados em plataformas legítimas como Dropbox para evitar detecção.
Técnicas avançadas de infecção
A cadeia de infecção demonstra sofisticação técnica avançada. O malware principal, Amaranth Loader, utiliza DLL side-loading, técnica que abusa de programas legítimos para carregar código malicioso sem levantar suspeitas.
Uma vez ativo, o loader baixa chaves de criptografia de servidores externos, decifra payloads adicionais e os executa diretamente na memória do computador, dificultando enormemente a detecção.
O payload final frequentemente é o Havoc, framework de comando e controle de código aberto que transforma sistemas comprometidos em pontos remotamente controlados pelos atacantes.
Variantes adaptadas por região
Em campanhas específicas, os atacantes adaptaram suas ferramentas. Na Indonésia, distribuíram o TGAmaranth RAT, trojan de acesso remoto que utiliza bots do Telegram para comando e controle.
Este malware permite capturar telas, executar comandos, baixar arquivos e manter controle total sobre sistemas comprometidos, implementando técnicas anti-detecção para resistir à análise.
A infraestrutura de comando e controle, protegida pelo Cloudflare, aceita conexões apenas de IPs dos países alvejados, dificultando investigações e reduzindo exposição operacional.
Operação paralela do Mustang Panda
Paralelamente, outro grupo chinês, Mustang Panda, conduziu a operação PlugX Diplomacy entre dezembro de 2025 e janeiro de 2026, mirando funcionários diplomáticos e eleitorais.
Diferente do Amaranth-Dragon, essa campanha baseou-se em impersonação, distribuindo documentos que pareciam resumos diplomáticos americanos. Simplesmente abrir o arquivo comprometia o sistema com uma variante customizada do malware PlugX.
Ameaça persistente e recomendações
A correlação entre eventos diplomáticos reais e o timing dos ataques detectados sugere que essas campanhas persistirão conforme desenvolvimentos geopolíticos se desenrolem.
Especialistas recomendam que entidades governamentais e diplomáticas tratem distribuição de arquivos maliciosos e técnicas de DLL hijacking como ameaças persistentes de alta prioridade, não como táticas isoladas.
Estas operações ilustram a evolução da espionagem cibernética patrocinada por Estados: planejamento meticuloso, execução técnica avançada e objetivos geopolíticos claros de coleta de inteligência de longo prazo, representando desafio significativo para as defesas cibernéticas regionais.
Acompanhe o TecMundo nas redes sociais. Para mais notícias de segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.