В период с 2025 по 2026 год специалисты по информационной безопасности зафиксировали две масштабные кампании кибершпионажа, направленные на правительственные, правоохранительные и дипломатические секторы. Исследователи связывают эти операции с китайскими угрожающими субъектами, действующими в рамках четко спланированных стратегий. Израильская фирма Check Point Research, чей отчет был освещен изданием The Hacker News, выявила новый кластер активности под названием Amaranth-Dragon. Эта группа демонстрирует прямую связь с экосистемой APT41 — известной прокитайской группировкой, поддерживаемой на государственном уровне. Операторы работают в часовом поясе UTC+8 (стандартное время Китая) и характеризуются высокой дисциплиной, наличием значительных ресурсов и стремлением к скрытности, определяемой экспертами как «строго контролируемая».
Атрибуция Amaranth-Dragon подтверждается совпадениями в арсенале вредоносного ПО, методах управления инфраструктурой и стиле разработки кода. В частности, замечено сходство с инструментами DodgeBox, DUSTPAN (также известным как StealthVector) и DUSTTRAP, ранее использовавшимися APT41. Технический почерк группы включает создание новых потоков внутри экспортных функций. Основной целью злоумышленников является сбор геополитической разведывательной информации и закрепление долгосрочного присутствия в сетях Камбоджи, Таиланда, Лаоса, Индонезии, Сингапура и Филиппин. Для минимизации рисков обнаружения инфраструктура атакующих настраивается таким образом, чтобы взаимодействовать исключительно с жертвами из целевых стран.
Техническая реализация атак Amaranth-Dragon опиралась на эксплуатацию уязвимости CVE-2025-8088 в архиваторе RARLAB WinRAR, позволяющей выполнять произвольный код через специально созданные архивы. Злоумышленники начали использовать этот эксплойт в августе 2025 года, всего через восемь дней после его публичного раскрытия. Доставка вредоносного содержимого осуществлялась посредством целевого фишинга с использованием тем, связанных с политическими, экономическими или военными событиями. Для обхода защитных периметров файлы размещались на легитимных облачных платформах, таких как Dropbox.
В цепочке заражения ключевую роль играл Amaranth Loader — вредоносная DLL-библиотека, запускаемая методом DLL side-loading. Этот загрузчик связывался с внешним сервером, получал ключ шифрования, дешифровал полезную нагрузку с другого URL-адреса и исполнял ее в памяти. В качестве финальной полезной нагрузки использовался Havoc, фреймворк с открытым исходным кодом для управления и контроля (C2), а также троян удаленного доступа TGAmaranth RAT. Особенностью последнего является использование жестко закодированного бота в Telegram в качестве механизма управления.
Хронология операций Amaranth-Dragon в 2025 году демонстрирует адаптивность группы. В марте использовались ZIP-архивы с ярлыками Windows (LNK) и пакетными файлами (BAT). В начале сентября была проведена атака на Индонезию с распространением защищенных паролем RAR-архивов через Dropbox для доставки TGAmaranth RAT. В конце октября 2025 года зафиксирована целевая атака на Береговую охрану Филиппин с применением специфических приманок. Кампании тщательно синхронизировались с чувствительными местными политическими событиями и официальными правительственными решениями.
Вторая крупная кампания, получившая название PlugX Diplomacy, была проанализирована компанией Dream Research Labs из Тель-Авива. Активность, приписываемая китайской государственной группе Mustang Panda, наблюдалась с декабря 2025 года по середину января 2026 года. В отличие от Amaranth-Dragon, эта группировка полагалась не на программные уязвимости, а на социальную инженерию, маскировку и доверие. Атаки были направлены на дипломатические ведомства, избирательные органы и структуры международной координации в различных регионах, используя в качестве приманок файлы, имитирующие дипломатические сводки или политические документы, связанные с США.
Цепочка атаки Mustang Panda начиналась с вредоносных ZIP-вложений, содержащих единственный LNK-файл. При открытии файл запускал команду PowerShell, которая рекурсивно искала архив, считывала его как сырые байты и извлекала полезную нагрузку с фиксированного смещения. Данные записывались на диск с использованием обфусцированной функции
Скрытый TAR-архив содержал три файла: легитимный подписанный исполняемый файл
Изображение носит иллюстративный характер
Атрибуция Amaranth-Dragon подтверждается совпадениями в арсенале вредоносного ПО, методах управления инфраструктурой и стиле разработки кода. В частности, замечено сходство с инструментами DodgeBox, DUSTPAN (также известным как StealthVector) и DUSTTRAP, ранее использовавшимися APT41. Технический почерк группы включает создание новых потоков внутри экспортных функций. Основной целью злоумышленников является сбор геополитической разведывательной информации и закрепление долгосрочного присутствия в сетях Камбоджи, Таиланда, Лаоса, Индонезии, Сингапура и Филиппин. Для минимизации рисков обнаружения инфраструктура атакующих настраивается таким образом, чтобы взаимодействовать исключительно с жертвами из целевых стран.
Техническая реализация атак Amaranth-Dragon опиралась на эксплуатацию уязвимости CVE-2025-8088 в архиваторе RARLAB WinRAR, позволяющей выполнять произвольный код через специально созданные архивы. Злоумышленники начали использовать этот эксплойт в августе 2025 года, всего через восемь дней после его публичного раскрытия. Доставка вредоносного содержимого осуществлялась посредством целевого фишинга с использованием тем, связанных с политическими, экономическими или военными событиями. Для обхода защитных периметров файлы размещались на легитимных облачных платформах, таких как Dropbox.
В цепочке заражения ключевую роль играл Amaranth Loader — вредоносная DLL-библиотека, запускаемая методом DLL side-loading. Этот загрузчик связывался с внешним сервером, получал ключ шифрования, дешифровал полезную нагрузку с другого URL-адреса и исполнял ее в памяти. В качестве финальной полезной нагрузки использовался Havoc, фреймворк с открытым исходным кодом для управления и контроля (C2), а также троян удаленного доступа TGAmaranth RAT. Особенностью последнего является использование жестко закодированного бота в Telegram в качестве механизма управления.
Хронология операций Amaranth-Dragon в 2025 году демонстрирует адаптивность группы. В марте использовались ZIP-архивы с ярлыками Windows (LNK) и пакетными файлами (BAT). В начале сентября была проведена атака на Индонезию с распространением защищенных паролем RAR-архивов через Dropbox для доставки TGAmaranth RAT. В конце октября 2025 года зафиксирована целевая атака на Береговую охрану Филиппин с применением специфических приманок. Кампании тщательно синхронизировались с чувствительными местными политическими событиями и официальными правительственными решениями.
Вторая крупная кампания, получившая название PlugX Diplomacy, была проанализирована компанией Dream Research Labs из Тель-Авива. Активность, приписываемая китайской государственной группе Mustang Panda, наблюдалась с декабря 2025 года по середину января 2026 года. В отличие от Amaranth-Dragon, эта группировка полагалась не на программные уязвимости, а на социальную инженерию, маскировку и доверие. Атаки были направлены на дипломатические ведомства, избирательные органы и структуры международной координации в различных регионах, используя в качестве приманок файлы, имитирующие дипломатические сводки или политические документы, связанные с США.
Цепочка атаки Mustang Panda начиналась с вредоносных ZIP-вложений, содержащих единственный LNK-файл. При открытии файл запускал команду PowerShell, которая рекурсивно искала архив, считывала его как сырые байты и извлекала полезную нагрузку с фиксированного смещения. Данные записывались на диск с использованием обфусцированной функции
WriteAllBytes, после чего распаковывались с помощью системной утилиты tar.exe. Жертве демонстрировался отвлекающий PDF-документ, пока в фоне происходило заражение. Скрытый TAR-архив содержал три файла: легитимный подписанный исполняемый файл
RemoveBackupper.exe (от ПО AOMEI Backupper), уязвимый к подмене DLL, вредоносную библиотеку comn.dll и зашифрованный файл backupper.dat. Запуск легитимного приложения приводил к подгрузке вредоносной библиотеки и расшифровке полезной нагрузки — DOPLUGS. Это кастомизированный вариант вредоносного ПО PlugX, предназначенный для скрытого сбора данных и обеспечения постоянного доступа, который фиксируется в дикой природе как минимум с конца декабря 2022 года.
