Китайская группировка Amaranth Dragon, которую специалисты связывают с APT41, пополнила перечень игроков, использующих свежую брешь в WinRAR. Речь идет об уязвимости CVE-2025-8088, обнаруженной в конце января 2026 года. Она относится к классу обхода пути и затрагивает версии архиватора 7.12 и новее, позволяя злоумышленникам запускать произвольный код на зараженных устройствах. Уровень опасности оценен в 8,4 балла из 10, то есть как высокий.
Как отмечают исследователи Check Point, атаки Amaranth Dragon были направлены на организации в Сингапуре, Таиланде, Индонезии, Камбодже, Лаосе и на Филиппинах. При этом злоумышленники комбинируют легитимные инструменты с собственным загрузчиком. Он, в свою очередь, подтягивает зашифрованную полезную нагрузку с сервера, который скрыт за инфраструктурой и внешне маскируется под Cloudflare.
О том, что уязвимость активно эксплуатируется разными структурами, включая государственные, предупреждали еще в момент ее раскрытия. По данным Google Threat Intelligence Group, первые признаки злоупотребления были замечены в середине июля 2025 года. Хакеры использовали альтернативные потоки данных (ADS) в WinRAR, чтобы незаметно записывать вредоносные компоненты в произвольные места на целевых машинах. Судя по наблюдениям, Amaranth Dragon подключился к этой схеме в середине августа 2025-го, всего через несколько дней после публикации первого рабочего эксплойта.
Сценарий заражения выглядит достаточно буднично: пользователю показывают документ-приманку, например PDF, а внутри архива параллельно лежат дополнительные записи. Часть из них содержит скрытую вредоносную нагрузку, а часть служит «пустышками», чтобы запутать анализ и отвлечь внимание.
Ранее сообщалось, что ошибку применяла и RomCom, связанная с российским правительством, разворачивая NESTPACKER против украинских военных подразделений. Также в контексте CVE-2025-8088 упоминались APT44, Turla, Carpathian и несколько китайских компаний, распространявших POISONIVY (фото: techradar.com).
