Grupos de hackers associados ao governo chinês intensificaram, ao longo de 2025, operações de espionagem cibernética contra órgãos governamentais e de segurança no Sudeste Asiático. De acordo com pesquisadores da área, as campanhas mostram um salto relevante em sofisticação técnica e coordenação estratégica, com ataques cuidadosamente alinhados a contextos políticos sensíveis.
A Check Point Research atribui as atividades ao grupo Amaranth-Dragon, que mantém fortes vínculos com o ecossistema APT41, conhecido por conduzir operações de espionagem prolongadas e altamente direcionadas. Entre os países afetados estão Camboja, Tailândia, Laos, Indonésia, Singapura e Filipinas. Os ataques costumam coincidir com decisões governamentais importantes, eventos diplomáticos ou conferências regionais de segurança.
Um dos principais diferenciais dessas campanhas é o uso de timing extremamente preciso. Ao explorar temas atuais e familiares ao cotidiano profissional das vítimas, os atacantes aumentam significativamente a taxa de sucesso. A infraestrutura utilizada também é seletiva: servidores e serviços só respondem a conexões originadas nos países-alvo, reduzindo a exposição e dificultando análises forenses externas.
Exploração rápida de falhas e spear phishing
A agilidade operacional do grupo ficou evidente com a rápida adoção da vulnerabilidade CVE-2025-8088, descoberta no WinRAR. Apenas oito dias após sua divulgação pública, a falha já estava sendo explorada em campanhas ativas. Arquivos compactados maliciosos eram enviados por e-mails de spear phishing altamente personalizados e hospedados em serviços legítimos, como o Dropbox, para contornar mecanismos tradicionais de detecção.
Cadeia de infecção sofisticada
O processo de infecção revela um alto nível de maturidade técnica. O malware inicial, conhecido como Amaranth Loader, utiliza DLL side-loading, técnica que se aproveita de aplicativos legítimos para carregar código malicioso de forma discreta. Após a execução, o loader se conecta a servidores externos para obter chaves de criptografia, decifra cargas adicionais e as executa diretamente na memória, dificultando a identificação por soluções de segurança.
O estágio final do ataque geralmente envolve o Havoc, um framework de comando e controle de código aberto amplamente utilizado para transformar sistemas comprometidos em pontos de acesso remoto controlados pelos invasores.
Ferramentas adaptadas por região
Em algumas campanhas, o grupo demonstrou capacidade de adaptação regional. Na Indonésia, por exemplo, foi identificado o uso do TGAmaranth RAT, um trojan de acesso remoto que utiliza bots do Telegram como canal de comando e controle. Essa ferramenta permite capturar telas, executar comandos, transferir arquivos e manter controle completo sobre o sistema infectado, além de empregar técnicas para dificultar análise e detecção.
A infraestrutura de comando e controle dessas campanhas costuma ser protegida por serviços como o Cloudflare e configurada para aceitar conexões apenas de endereços IP dos países visados, reforçando a discrição operacional.
Atuação paralela do Mustang Panda
Em paralelo às ações do Amaranth-Dragon, outro grupo chinês conhecido como Mustang Panda conduziu a operação chamada PlugX Diplomacy entre dezembro de 2025 e janeiro de 2026. Essa campanha teve como alvo funcionários diplomáticos e ligados a processos eleitorais.
Diferentemente das ações anteriores, o Mustang Panda apostou em técnicas de impersonação, distribuindo documentos que simulavam relatórios diplomáticos dos Estados Unidos. A simples abertura desses arquivos era suficiente para instalar uma versão personalizada do malware PlugX no sistema da vítima.
Uma ameaça contínua
A forte correlação entre eventos diplomáticos reais e o momento dos ataques indica que esse tipo de campanha tende a continuar acompanhando os desdobramentos geopolíticos da região. Especialistas alertam que órgãos governamentais e diplomáticos devem tratar a distribuição de arquivos maliciosos e técnicas como DLL hijacking como ameaças persistentes e prioritárias, não como incidentes isolados.
Essas operações exemplificam a evolução da espionagem cibernética patrocinada por Estados, marcada por planejamento cuidadoso, execução técnica avançada e objetivos claros de coleta de inteligência no longo prazo, impondo desafios crescentes às defesas digitais no Sudeste Asiático.
