Các threat actor liên kết với Trung Quốc được cho là đã thực hiện một loạt cyber espionage campaign mới nhắm vào các cơ quan chính phủ và thực thi pháp luật trên khắp Đông Nam Á trong suốt năm 2025.
Check Point Research đang theo dõi nhóm hoạt động chưa từng được ghi nhận trước đây dưới biệt danh Amaranth-Dragon, mà họ cho biết có liên hệ với hệ sinh thái APT 41. Các quốc gia bị nhắm mục tiêu bao gồm Campuchia, Thái Lan, Lào, Indonesia, Singapore và Philippines.
"Nhiều chiến dịch được lên thời gian trùng khớp với các diễn biến chính trị nhạy cảm của địa phương, các quyết định chính thức của chính phủ hoặc các sự kiện an ninh khu vực," công ty an ninh mạng cho biết trong một báo cáo chia sẻ với The Hacker News. "Bằng cách neo hành vi độc hại vào các bối cảnh quen thuộc, kịp thời, những kẻ tấn công đã tăng đáng kể khả năng các mục tiêu sẽ tương tác với nội dung đó."
Công ty của Israel nói thêm rằng các cuộc tấn công "tập trung hẹp" và "phạm vi chặt chẽ," cho thấy nỗ lực của các threat actor nhằm thiết lập sự duy trì lâu dài để thu thập thông tin tình báo địa chính trị.
Khía cạnh đáng chú ý nhất trong tradecraft của các threat actor là mức độ tàng hình cao, với các campaign được "kiểm soát chặt chẽ" và cơ sở hạ tầng tấn công được cấu hình sao cho chỉ có thể tương tác với các nạn nhân ở các quốc gia mục tiêu cụ thể nhằm giảm thiểu sự phơi nhiễm.
Các chuỗi tấn công do đối thủ thực hiện được phát hiện đã lạm dụng CVE-2025-8088, một lỗ hổng bảo mật đã được vá ảnh hưởng đến RARLAB WinRAR cho phép thực thi arbitrary code khi các tệp lưu trữ được chế tạo đặc biệt được mục tiêu mở. Việc khai thác lỗ hổng đã được quan sát khoảng tám ngày sau tiết lộ công khai vào tháng 8.
"Nhóm đã phân phối một tệp RAR độc hại khai thác lỗ hổng CVE-2025-8088, cho phép thực thi arbitrary code và duy trì persistence trên máy bị xâm nhập," các nhà nghiên cứu của Check Point lưu ý. "Tốc độ và sự tự tin mà lỗ hổng này được vận hành đã nhấn mạnh sự trưởng thành về kỹ thuật và sự chuẩn bị của nhóm."
Mặc dù initial access vector chính xác vẫn chưa được biết ở giai đoạn này, tính chất nhắm mục tiêu cao của các campaign, cùng với việc sử dụng các lure được tùy chỉnh liên quan đến các diễn biến chính trị, kinh tế hoặc quân sự trong khu vực, cho thấy việc sử dụng email spear-phishing để phân phối các tệp lưu trữ được lưu trữ trên các nền tảng đám mây nổi tiếng như Dropbox nhằm giảm sự nghi ngờ và vượt qua các biện pháp phòng thủ perimeter truyền thống.
Tệp lưu trữ chứa một số tệp, bao gồm một DLL độc hại có tên Amaranth Loader được khởi chạy bằng phương tiện DLL side-loading, một chiến thuật được ưa chuộng từ lâu trong số các threat actor Trung Quốc. Loader này có những điểm tương đồng với các công cụ như DodgeBox, DUSTPAN (còn gọi là StealthVector), và DUSTTRAP, vốn đã được xác định trước đây là do nhóm APT41 sử dụng.
Sau khi được thực thi, loader được thiết kế để liên hệ với một máy chủ bên ngoài để lấy encryption key, sau đó được sử dụng để giải mã một payload đã được mã hóa được lấy từ một URL khác và thực thi trực tiếp trong memory. Payload cuối cùng được triển khai như một phần của cuộc tấn công là framework command-and-control (C2 hoặc C&C) mã nguồn mở được gọi là Havoc.
Ngược lại, các phiên bản đầu tiên của campaign được phát hiện vào tháng 3 năm 2025 đã sử dụng các tệp ZIP chứa Windows shortcuts (LNK) và batch (BAT) để giải mã và thực thi Amaranth Loader bằng cách sử dụng DLL side-loading. Một chuỗi tấn công tương tự cũng được xác định trong một campaign vào cuối tháng 10 năm 2025 sử dụng các lure liên quan đến Lực lượng Bảo vệ Bờ biển Philippines.
Trong một campaign khác nhắm vào Indonesia vào đầu tháng 9 năm 2025, các threat actor đã chọn phân phối một RAR archive được bảo vệ bằng mật khẩu từ Dropbox để cung cấp một remote access trojan (RAT) hoạt động đầy đủ với tên mã TGAmaranth RAT thay vì Amaranth Loader, tận dụng Telegram bot được hard-coded cho C2.
Ngoài việc triển khai các kỹ thuật anti-debugging và anti-antivirus để chống lại việc phân tích và phát hiện, RAT này hỗ trợ các lệnh sau:
/start, để gửi danh sách các process đang chạy từ máy bị nhiễm đến bot/screenshot, để chụp và tải lên một screenshot/shell, để thực thi một lệnh được chỉ định trên máy bị nhiễm và exfiltrate output/download, để tải xuống một tệp được chỉ định từ máy bị nhiễm/upload, để tải lên một tệp đến máy bị nhiễm
Hơn nữa, cơ sở hạ tầng C2 được bảo vệ bởi Cloudflare và được cấu hình để chỉ chấp nhận traffic từ các IP address trong quốc gia hoặc các quốc gia cụ thể được nhắm mục tiêu trong mỗi hoạt động. Hoạt động này cũng minh họa cách các threat actor tinh vi vũ khí hóa cơ sở hạ tầng hợp pháp, đáng tin cậy để thực hiện các cuộc tấn công có mục tiêu trong khi vẫn hoạt động bí mật.
Mối liên hệ của Amaranth-Dragon với APT41 bắt nguồn từ sự trùng lặp trong kho malware, gợi ý về một kết nối có thể có hoặc các tài nguyên được chia sẻ giữa hai nhóm. Đáng chú ý là các threat actor Trung Quốc nổi tiếng về việc chia sẻ các công cụ, kỹ thuật và cơ sở hạ tầng.
"Ngoài ra, phong cách phát triển, chẳng hạn như tạo các thread mới trong các export function để thực thi mã độc, phản ánh chặt chẽ các thực tiễn đã được thiết lập của APT41," Check Point cho biết.
"Compilation timestamps, thời gian campaign và quản lý cơ sở hạ tầng đều chỉ ra một nhóm có kỷ luật, được trang bị tốt đang hoạt động trong múi giờ UTC+8 (China Standard Time). Kết hợp lại, những điểm trùng lặp về kỹ thuật và hoạt động này gợi ý mạnh mẽ rằng Amaranth-Dragon có liên hệ chặt chẽ với, hoặc là một phần của, hệ sinh thái APT41, tiếp tục các mô hình nhắm mục tiêu và phát triển công cụ đã được thiết lập trong khu vực."
Mustang Panda triển khai biến thể PlugX trong chiến dịch mới
Tiết lộ này được đưa ra khi công ty an ninh mạng Dream Research Labs có trụ sở tại Tel Aviv đã trình bày chi tiết một campaign được dàn dựng bởi một nhóm nation-state Trung Quốc khác được theo dõi là Mustang Panda, nhắm mục tiêu vào các quan chức tham gia vào ngoại giao, bầu cử và điều phối quốc tế trên nhiều khu vực từ tháng 12 năm 2025 đến giữa tháng 1 năm 2026. Hoạt động này đã được đặt tên là PlugX Diplomacy.
"Thay vì khai thác các software vulnerability, hoạt động này dựa vào việc mạo danh và lòng tin," công ty cho biết. "Nạn nhân bị lừa mở các tệp trông có vẻ là các bản tóm tắt ngoại giao hoặc tài liệu chính sách liên quan đến Hoa Kỳ. Chỉ cần mở tệp là đủ để kích hoạt sự xâm nhập."
Các tài liệu này mở đường cho việc triển khai một biến thể tùy chỉnh của PlugX, một malware đã tồn tại lâu đời được nhóm hacking sử dụng để thu thập dữ liệu một cách bí mật và cho phép truy cập liên tục vào các host bị xâm nhập. Biến thể này, được gọi là DOPLUGS, đã được phát hiện trong tự nhiên ít nhất từ cuối tháng 12 năm 2022.
Các chuỗi tấn công khá nhất quán ở chỗ các tệp đính kèm ZIP độc hại tập trung vào các cuộc họp chính thức, bầu cử và các diễn đàn quốc tế đóng vai trò là chất xúc tác để kích hoạt một quy trình đa trạng thái. Trong tệp nén có một tệp LNK duy nhất mà khi được khởi chạy, sẽ kích hoạt việc thực thi một lệnh PowerShell để giải nén và thả một TAR archive.
"Logic PowerShell được nhúng sẽ tìm kiếm đệ quy ZIP archive, đọc nó dưới dạng raw bytes và trích xuất một payload bắt đầu từ một byte offset cố định," Dream giải thích. "Dữ liệu được trích xuất được ghi vào disk bằng cách gọi obfuscated phương thức WriteAllBytes. Dữ liệu được trích xuất được xử lý như một TAR archive và được giải nén bằng tiện ích tar.exe gốc, cho thấy việc sử dụng nhất quán các living-off-the-land binaries (LOLBins) trong toàn bộ chuỗi lây nhiễm."
TAR archive chứa ba tệp:
- Một executable hợp pháp có chữ ký liên quan đến AOMEI Backupper dễ bị tấn công DLL search-order hijacking ("RemoveBackupper.exe")
- Một tệp được mã hóa chứa PlugX payload ("backupper.dat")
- Một DLL độc hại được sideloaded bằng cách sử dụng executable ("comn.dll") để tải PlugX
Việc thực thi executable hợp pháp hiển thị một decoy PDF document cho người dùng để tạo ấn tượng cho nạn nhân rằng không có gì bất thường, trong khi ở chế độ nền, DOPLUGS được cài đặt trên host.
"Sự tương quan giữa các sự kiện ngoại giao thực tế và thời gian của các lure được phát hiện cho thấy rằng các campaign tương tự có khả năng sẽ tiếp tục khi các geopolitical development diễn ra," Dream kết luận.
"Các tổ chức hoạt động trong các lĩnh vực ngoại giao, chính phủ và hoạch định chính sách do đó nên coi các phương pháp phân phối LNK độc hại và DLL search-order hijacking thông qua các executable hợp pháp là các mối đe dọa dai dẳng, ưu tiên cao chứ không phải là các chiến thuật cô lập hoặc thoáng qua."
