INSPECTING ARCHIVED INTELLIGENCE (OUTDATED VERSION).

Microsoft Windows WinRAR Exploit Vulnerability Found

| 2026-02-05 11:50 CRITICAL HIGH
JSON
Executive Summary AI-generated
The recent cyber-espionage campaign, dubbed Amarath-Dragon, has been linked to a sophisticated hacking group known as Amaranth-Dragon. The attackers exploited a newly disclosed security vulnerability in Microsoft Windows version of WinRAR software, which was first disclosed in August 2025. This exploit enabled the creation of arbitrary code by crafting malicious archive files, highlighting the recent trend of threat actors rapidly weaponizing newly disclosed vulnerabilities.
Technical Mitigations AI-generated
* Regularly update and patch operating systems, software, and firmware: Ensure that all devices and systems run the latest versions of Microsoft Windows, as well as any other critical software or firmware. This will help prevent exploitation of known vulnerabilities before they can be used by attackers. * Use secure file archiving and compression techniques: Use encryption and access controls to protect sensitive files from unauthorized access. Consider using alternative file formats that are less vulnerable to exploitation, such as .zip or .7z. * Implement robust network security measures: Configure firewalls, intrusion detection systems (IDS), and antivirus software to detect and block suspicious activity on the network. Use secure protocols for communication, such as HTTPS or SFTP. * Use a web application firewall (WAF): A WAF can help protect against common web attacks by blocking malicious traffic before it reaches your application server. Consider using a cloud-based WAF service that provides real-time threat detection and response capabilities. * Monitor for suspicious archive files: Use signature-based or behavioral analysis to detect unusual patterns of activity related to archive file creation, modification, or deletion. This can help identify potential threats early on. Note: These are general recommendations and may not be applicable in all situations. It's essential to consult with security experts and conduct thorough risk assessments before implementing any new measures.
Technical Observables
AI Podcast (EN) detail_available
detail_listen_ai (EN)
Intelligence distributed on:
Incident Link
Intelligence Metadata
Actors / Malware / CVEs / Campaigns
Campaign Exploits MicrosoftCampaign Exploits MicrosoftCampaign Check PointCampaign Check Point APT41APT41Mustang PandaMustang Panda DUSTTRAPDUSTTRAPPlugXPlugXHavocHavocDUSTPANDUSTPAN CVE-2025-8088CVE-2025-8088
Target & Sectors
APAC APAC governmentgovernment defensedefense
Incident Timeline
August 2025
The attackers used Havoc Framework, an open-source Command and Control platform, to deploy malware that exploited a path traversal vulnerability in WinRAR.
infrastructure Winrar
The attackers leveraged CVE-2025-8088 , a path traversal vulnerability in the widely used file archive and compression software WinRAR, which was first disclosed in August 2025.
Check Point believed that the lures were delivered via phishing emails to the intended victims, directing them to the malicious WinRAR files being hosted on legitimate cloud storage services.
vulnerability CVE-2025-8088
The attackers leveraged CVE-2025-8088 , a path traversal vulnerability in the widely used file archive and compression software WinRAR, which was first disclosed in August 2025.
organisation CVE-2025
The attackers leveraged CVE-2025-8088 , a path traversal vulnerability in the widely used file archive and compression software WinRAR, which was first disclosed in August 2025.
organisation APT
The tools, techniques and procedures by Amarath-Dragon closely resemble APT 41, the prolific Chinese state-linked cyber-espionage and hacking group .
organisation Check Point Research
“The campaigns by Amaranth-Dragon exploiting the CVE-2025-8088 vulnerability highlight the recent trend of sophisticated threat actors rapidly weaponizing newly disclosed vulnerabilities,” Check Point Research said in a blog post .
organisation Amaranth-Dragon
“The campaigns by Amaranth-Dragon exploiting the CVE-2025-8088 vulnerability highlight the recent trend of sophisticated threat actors rapidly weaponizing newly disclosed vulnerabilities,” Check Point Research said in a blog post .
organisation Command and Control (C&C
One way the attackers achieve this is through the deployment of Havoc Framework , an open-source Command and Control (C&C) platform which is used for authorized penetration testing and red teaming exercises .
organisation Amarath-Dragon
Researchers concluded that the campaign was being conducted by a group dubbed Amarath-Dragon.
2026-02-05
Los actores de la amenaza china utilizan un malware llamado Amaranth-Dragon para recoger datos encubiertamente en países como Camboya, Indonesia y Filipinas.
infrastructure Winrar
China-Linked Amaranth-Dragon Exploits WinRAR Flaw in Espionage Campaigns.
Cadenas de ataque montadas por el adversario han sido encontradas para abusar CVE-2025-8088 , un defecto de seguridad ahora pareado que impacta RARLAB WinRAR que permite la ejecución arbitraria de código cuando los archivos especialmente elaborados son abiertos por objetivos.
New Hacking Campaign Exploits Microsoft Windows WinRAR Vulnerability.
A hacking campaign took just days to exploit a newly disclosed security vulnerability in Microsoft Windows version of WinRAR, researchers at Check Point have said.
organisation un
Los agentes de amenazas afiliados a China se han atribuido a un nuevo conjunto de campañas de espionaje cibernético dirigidas a los organismos gubernamentales y encargados de hacer cumplir la ley en todo el sudeste asiático a lo largo de 2025.
" El archivo TAR contiene tres archivos - Un ejecutable firmado legítimo asociado con AOMEI Backupper es vulnerable al secuestro de orden de búsqueda DLL ("RemoveBackupper.exe")
organisation Cadenas de ataque montadas
Cadenas de ataque montadas por el adversario han sido encontradas para abusar CVE-2025-8088 , un defecto de seguridad ahora pareado que impacta RARLAB WinRAR que permite la ejecución arbitraria de código cuando los archivos especialmente elaborados son abiertos por objetivos.
organisation CVE-2025
Cadenas de ataque montadas por el adversario han sido encontradas para abusar CVE-2025-8088 , un defecto de seguridad ahora pareado que impacta RARLAB WinRAR que permite la ejecución arbitraria de código cuando los archivos especialmente elaborados son abiertos por objetivos.
organisation un defecto de seguridad ahora
Cadenas de ataque montadas por el adversario han sido encontradas para abusar CVE-2025-8088 , un defecto de seguridad ahora pareado que impacta RARLAB WinRAR que permite la ejecución arbitraria de código cuando los archivos especialmente elaborados son abiertos por objetivos.
organisation que impacta
Cadenas de ataque montadas por el adversario han sido encontradas para abusar CVE-2025-8088 , un defecto de seguridad ahora pareado que impacta RARLAB WinRAR que permite la ejecución arbitraria de código cuando los archivos especialmente elaborados son abiertos por objetivos.
organisation RARLAB WinRAR
Cadenas de ataque montadas por el adversario han sido encontradas para abusar CVE-2025-8088 , un defecto de seguridad ahora pareado que impacta RARLAB WinRAR que permite la ejecución arbitraria de código cuando los archivos especialmente elaborados son abiertos por objetivos.
infrastructure Windows
New Hacking Campaign Exploits Microsoft Windows WinRAR Vulnerability.
A hacking campaign took just days to exploit a newly disclosed security vulnerability in Microsoft Windows version of WinRAR, researchers at Check Point have said.
Por el contrario, las primeras iteraciones de la campaña detectadas en marzo de 2025 hicieron uso de archivos ZIP que contienen atajos de Windows (LNK) y lote (BAT) para descifrar
organisation New Hacking Campaign
New Hacking Campaign Exploits Microsoft Windows WinRAR Vulnerability.
organisation Microsoft Windows WinRAR Vulnerability
New Hacking Campaign Exploits Microsoft Windows WinRAR Vulnerability.
organisation Microsoft Windows
A hacking campaign took just days to exploit a newly disclosed security vulnerability in Microsoft Windows version of WinRAR, researchers at Check Point have said.
organisation Check Point
A hacking campaign took just days to exploit a newly disclosed security vulnerability in Microsoft Windows version of WinRAR, researchers at Check Point have said.
organisation al secuestro de orden de búsqueda
" El archivo TAR contiene tres archivos - Un ejecutable firmado legítimo asociado con AOMEI Backupper es vulnerable al secuestro de orden de búsqueda DLL ("RemoveBackupper.exe")
organisation Entre los países
Entre los países beneficiarios figuran Camboya, Tailandia, Laos, Indonesia, Singapur y Filipinas.
organisation Camboya
Entre los países beneficiarios figuran Camboya, Tailandia, Laos, Indonesia, Singapur y Filipinas.
organisation DLL
El archivo contiene varios archivos, incluyendo un DLL malintencionado llamado Amaranth Loader que se ha lanzado por medio de carga lateral DLL, otra táctica de larga data entre los agentes de la amenaza de China.
organisation Amaranth Loader
El archivo contiene varios archivos, incluyendo un DLL malintencionado llamado Amaranth Loader que se ha lanzado por medio de carga lateral DLL, otra táctica de larga data entre los agentes de la amenaza de China.
organisation táctica de larga data
El archivo contiene varios archivos, incluyendo un DLL malintencionado llamado Amaranth Loader que se ha lanzado por medio de carga lateral DLL, otra táctica de larga data entre los agentes de la amenaza de China.
organisation los agentes de la amenaza de China
El archivo contiene varios archivos, incluyendo un DLL malintencionado llamado Amaranth Loader que se ha lanzado por medio de carga lateral DLL, otra táctica de larga data entre los agentes de la amenaza de China.
organisation de septiembre de 2025
En otra campaña dirigida a Indonesia a principios de septiembre de 2025, los actores de la amenaza optaron por distribuir un archivo RAR protegido por contraseña de Dropbox para ofrecer un acceso remoto totalmente funcional troyán (RAT) llamado
organisation los actores de la amenaza optaron
En otra campaña dirigida a Indonesia a principios de septiembre de 2025, los actores de la amenaza optaron por distribuir un archivo RAR protegido por contraseña de Dropbox para ofrecer un acceso remoto totalmente funcional troyán (RAT) llamado
organisation de Dropbox
En otra campaña dirigida a Indonesia a principios de septiembre de 2025, los actores de la amenaza optaron por distribuir un archivo RAR protegido por contraseña de Dropbox para ofrecer un acceso remoto totalmente funcional troyán (RAT) llamado
data_breach 2025 septiembre de
En otra campaña dirigida a Indonesia a principios de septiembre de 2025, los actores de la amenaza optaron por distribuir un archivo RAR protegido por contraseña de Dropbox para ofrecer un acceso remoto totalmente funcional troyán (RAT) llamado
organisation RAR
""El grupo distribuyó un archivo RAR malicioso que explota la vulnerabilidad CVE-2025-8088, permitiendo la ejecución de código arbitrario y manteniendo la persistencia en la máquina comprometida", señalaron los investigadores de Check Point.
organisation señalaron los investigadores de Check Point
""El grupo distribuyó un archivo RAR malicioso que explota la vulnerabilidad CVE-2025-8088, permitiendo la ejecución de código arbitrario y manteniendo la persistencia en la máquina comprometida", señalaron los investigadores de Check Point.
organisation BAT
Por el contrario, las primeras iteraciones de la campaña detectadas en marzo de 2025 hicieron uso de archivos ZIP que contienen atajos de Windows (LNK) y lote (BAT) para descifrar
organisation tratan como un
Los datos extraídos se tratan como un archivo TAR y desempaquetados usando la utilidad tar.exe nativa, demostrando el uso consistente de binarios vivos fuera de la tierra (LOLBins) a través de la cadena de infección.
organisation la utilidad tar.exe nativa
Los datos extraídos se tratan como un archivo TAR y desempaquetados usando la utilidad tar.exe nativa, demostrando el uso consistente de binarios vivos fuera de la tierra (LOLBins) a través de la cadena de infección.
organisation el uso consistente de binarios
Los datos extraídos se tratan como un archivo TAR y desempaquetados usando la utilidad tar.exe nativa, demostrando el uso consistente de binarios vivos fuera de la tierra (LOLBins) a través de la cadena de infección.
organisation Un DLL
Un archivo encriptado que contiene la carga útil PlugX ("backupper.dat") Un DLL malintencionado que está cargado con el ejecutable ("comn.dll") para cargar PlugX La ejecución del ejecutable legítimo muestra un documento PDF de decoy al usuario para dar la impresión a la víctima de que nada es inadecuado, cuando, en el fondo, DOPLUGS se instala en el host.
organisation el ejecutable
Un archivo encriptado que contiene la carga útil PlugX ("backupper.dat") Un DLL malintencionado que está cargado con el ejecutable ("comn.dll") para cargar PlugX La ejecución del ejecutable legítimo muestra un documento PDF de decoy al usuario para dar la impresión a la víctima de que nada es inadecuado, cuando, en el fondo, DOPLUGS se instala en el host.
organisation PDF de decoy al usuario
Un archivo encriptado que contiene la carga útil PlugX ("backupper.dat") Un DLL malintencionado que está cargado con el ejecutable ("comn.dll") para cargar PlugX La ejecución del ejecutable legítimo muestra un documento PDF de decoy al usuario para dar la impresión a la víctima de que nada es inadecuado, cuando, en el fondo, DOPLUGS se instala en el host.
threat_actor Mustang Panda
Mustang Panda ofrece Variante PlugX en Nueva Campaña La revelación viene
como la compañía de ciberseguridad basada en Tel Aviv Dream Research Labs detalló una campaña orquestada por otro grupo nacional-estado chino rastreado como Mustang Panda que ha dirigido a funcionarios que participan en la diplomacia, las elecciones y la coordinación internacional en varias regiones entre diciembre de 2025 y mediados de enero de 2026.
organisation el camino
" Los documentos allanan el camino para el despliegue de una variante personalizada PlugX , un malware de larga data puesto a utilizar por el grupo de piratería para recoger datos encubiertamente y permitir
organisation el despliegue de una variante personalizada
" Los documentos allanan el camino para el despliegue de una variante personalizada PlugX , un malware de larga data puesto a utilizar por el grupo de piratería para recoger datos encubiertamente y permitir
organisation un malware de larga data
" Los documentos allanan el camino para el despliegue de una variante personalizada PlugX , un malware de larga data puesto a utilizar por el grupo de piratería para recoger datos encubiertamente y permitir
organisation el grupo de piratería
" Los documentos allanan el camino para el despliegue de una variante personalizada PlugX , un malware de larga data puesto a utilizar por el grupo de piratería para recoger datos encubiertamente y permitir
organisation Check Point Research
Check Point Research está rastreando el grupo de actividades previamente indocumentados bajo el monitor Amaranth-Dragon , que dijo comparte enlaces al ecosistema APT 41.
organisation el grupo de actividades previamente
Check Point Research está rastreando el grupo de actividades previamente indocumentados bajo el monitor Amaranth-Dragon , que dijo comparte enlaces al ecosistema APT 41.
organisation el monitor
Check Point Research está rastreando el grupo de actividades previamente indocumentados bajo el monitor Amaranth-Dragon , que dijo comparte enlaces al ecosistema APT 41.
organisation Amaranth-Dragon
Check Point Research está rastreando el grupo de actividades previamente indocumentados bajo el monitor Amaranth-Dragon , que dijo comparte enlaces al ecosistema APT 41.
organisation al
Check Point Research está rastreando el grupo de actividades previamente indocumentados bajo el monitor Amaranth-Dragon , que dijo comparte enlaces al ecosistema APT 41.
organisation APT
Check Point Research está rastreando el grupo de actividades previamente indocumentados bajo el monitor Amaranth-Dragon , que dijo comparte enlaces al ecosistema APT 41.
organisation The Hacker News
"Muchas de las campañas coincidieron con acontecimientos políticos locales sensibles, decisiones oficiales del gobierno o eventos de seguridad regionales", la empresa de ciberseguridad dijo: en un informe compartido con The Hacker News.
organisation los atacantes
"Al anclar la actividad maliciosa en contextos familiares y oportunos, los atacantes aumentaron significativamente la probabilidad de que los objetivos se involucraran con el contenido".
organisation La firma israelí agregó que los ataques estaban
La firma israelí agregó que los ataques estaban "cerrados" y "de alcance estricto", indicando esfuerzos por parte de los actores de la amenaza para establecer la persistencia a largo plazo para la recolección de inteligencia geopolítica.
organisation parte de los actores de la amenaza
La firma israelí agregó que los ataques estaban "cerrados" y "de alcance estricto", indicando esfuerzos por parte de los actores de la amenaza para establecer la persistencia a largo plazo para la recolección de inteligencia geopolítica.
organisation El aspecto más
El aspecto más notable de la artesanía de los actores de la amenaza es el alto grado de sigilo, con las campañas "alta control" y la infraestructura de ataque configurada de tal manera que pueda interactuar sólo con las víctimas en determinados países destinatarios en un intento de minimizar la exposición.
organisation Aunque el vector de acceso
Aunque el vector de acceso inicial exacto sigue siendo desconocido en esta etapa, la naturaleza altamente selectiva de las campañas, junto con el uso de señuelos a medida relacionados con desarrollos políticos, económicos o militares en la región, sugiere el uso de correos electrónicos de especiado para distribuir los archivos hospedados en plataformas de nubes bien conocidas como Dropbox para reducir la sospecha y evitar las defensas perímetro tradicionales.
organisation selectiva de las campañas
Aunque el vector de acceso inicial exacto sigue siendo desconocido en esta etapa, la naturaleza altamente selectiva de las campañas, junto con el uso de señuelos a medida relacionados con desarrollos políticos, económicos o militares en la región, sugiere el uso de correos electrónicos de especiado para distribuir los archivos hospedados en plataformas de nubes bien conocidas como Dropbox para reducir la sospecha y evitar las defensas perímetro tradicionales.
organisation junto
Aunque el vector de acceso inicial exacto sigue siendo desconocido en esta etapa, la naturaleza altamente selectiva de las campañas, junto con el uso de señuelos a medida relacionados con desarrollos políticos, económicos o militares en la región, sugiere el uso de correos electrónicos de especiado para distribuir los archivos hospedados en plataformas de nubes bien conocidas como Dropbox para reducir la sospecha y evitar las defensas perímetro tradicionales.
organisation el uso de señuelos
Aunque el vector de acceso inicial exacto sigue siendo desconocido en esta etapa, la naturaleza altamente selectiva de las campañas, junto con el uso de señuelos a medida relacionados con desarrollos políticos, económicos o militares en la región, sugiere el uso de correos electrónicos de especiado para distribuir los archivos hospedados en plataformas de nubes bien conocidas como Dropbox para reducir la sospecha y evitar las defensas perímetro tradicionales.
organisation el uso de correos
Aunque el vector de acceso inicial exacto sigue siendo desconocido en esta etapa, la naturaleza altamente selectiva de las campañas, junto con el uso de señuelos a medida relacionados con desarrollos políticos, económicos o militares en la región, sugiere el uso de correos electrónicos de especiado para distribuir los archivos hospedados en plataformas de nubes bien conocidas como Dropbox para reducir la sospecha y evitar las defensas perímetro tradicionales.
organisation electrónicos de especiado
Aunque el vector de acceso inicial exacto sigue siendo desconocido en esta etapa, la naturaleza altamente selectiva de las campañas, junto con el uso de señuelos a medida relacionados con desarrollos políticos, económicos o militares en la región, sugiere el uso de correos electrónicos de especiado para distribuir los archivos hospedados en plataformas de nubes bien conocidas como Dropbox para reducir la sospecha y evitar las defensas perímetro tradicionales.
organisation las defensas perímetro
Aunque el vector de acceso inicial exacto sigue siendo desconocido en esta etapa, la naturaleza altamente selectiva de las campañas, junto con el uso de señuelos a medida relacionados con desarrollos políticos, económicos o militares en la región, sugiere el uso de correos electrónicos de especiado para distribuir los archivos hospedados en plataformas de nubes bien conocidas como Dropbox para reducir la sospecha y evitar las defensas perímetro tradicionales.
organisation DodgeBox
El cargador comparte similitudes con herramientas tales como DodgeBox, DUSTPAN (también StealthVector)
organisation el equipo de
y DUSTTRAP , que han sido identificados anteriormente como utilizados por el equipo de piratería APt41.
organisation cifrada recuperada de una URL
Una vez ejecutado, el cargador está diseñado para ponerse en contacto con un servidor externo para recuperar una clave de cifrado, que se utiliza para descifrar una carga útil cifrada recuperada de una URL diferente y ejecutarla directamente en memoria.
organisation el marco de mando
La carga útil final desplegada como parte del ataque es el marco de mando y control de código abierto (C2 o C plagaC) conocido como Havoc .
organisation el Amaranth Loader
y ejecutar el Amaranth Loader usando carga lateral DLL.
organisation Telegram
TGAmaranth RAT en lugar de Amaranth Loader que aprovecha un bot Telegram codificado para C2.
organisation el RAT
Además de implementar técnicas antidebugging y antiantivirus para resistir el análisis y la detección, el RAT admite los siguientes comandos - /start, para enviar una lista de procesos de funcionamiento de la máquina infectada al bot /screenshot, para capturar y subir una captura de pantalla /shell, para ejecutar un comando especificado en la máquina infectada y exfiltrate la salida /download, para descargar un archivo especificado de la máquina infectada /upload, para subir un archivo a la máquina infectada Además, la infraestructura C2 está asegurada por Cloudflare y está configurada para aceptar el tráfico sólo de direcciones
organisation lista de procesos de funcionamiento de la máquina
Además de implementar técnicas antidebugging y antiantivirus para resistir el análisis y la detección, el RAT admite los siguientes comandos - /start, para enviar una lista de procesos de funcionamiento de la máquina infectada al bot /screenshot, para capturar y subir una captura de pantalla /shell, para ejecutar un comando especificado en la máquina infectada y exfiltrate la salida /download, para descargar un archivo especificado de la máquina infectada /upload, para subir un archivo a la máquina infectada Además, la infraestructura C2 está asegurada por Cloudflare y está configurada para aceptar el tráfico sólo de direcciones
organisation subir una captura de pantalla
Además de implementar técnicas antidebugging y antiantivirus para resistir el análisis y la detección, el RAT admite los siguientes comandos - /start, para enviar una lista de procesos de funcionamiento de la máquina infectada al bot /screenshot, para capturar y subir una captura de pantalla /shell, para ejecutar un comando especificado en la máquina infectada y exfiltrate la salida /download, para descargar un archivo especificado de la máquina infectada /upload, para subir un archivo a la máquina infectada Además, la infraestructura C2 está asegurada por Cloudflare y está configurada para aceptar el tráfico sólo de direcciones
organisation Cloudflare
Además de implementar técnicas antidebugging y antiantivirus para resistir el análisis y la detección, el RAT admite los siguientes comandos - /start, para enviar una lista de procesos de funcionamiento de la máquina infectada al bot /screenshot, para capturar y subir una captura de pantalla /shell, para ejecutar un comando especificado en la máquina infectada y exfiltrate la salida /download, para descargar un archivo especificado de la máquina infectada /upload, para subir un archivo a la máquina infectada Además, la infraestructura C2 está asegurada por Cloudflare y está configurada para aceptar el tráfico sólo de direcciones
organisation el tráfico
Además de implementar técnicas antidebugging y antiantivirus para resistir el análisis y la detección, el RAT admite los siguientes comandos - /start, para enviar una lista de procesos de funcionamiento de la máquina infectada al bot /screenshot, para capturar y subir una captura de pantalla /shell, para ejecutar un comando especificado en la máquina infectada y exfiltrate la salida /download, para descargar un archivo especificado de la máquina infectada /upload, para subir un archivo a la máquina infectada Además, la infraestructura C2 está asegurada por Cloudflare y está configurada para aceptar el tráfico sólo de direcciones
organisation IP
IP dentro del país o países específicos de cada operación.
organisation del país o
IP dentro del país o países específicos de cada operación.
organisation y de confianza
La actividad también ejemplifica cómo los agentes de amenazas sofisticados arman infraestructura legítima y de confianza para ejecutar ataques selectivos mientras permanecen operativos clandestinamente.
organisation Los enlaces de Amaranth-Dragon a
Los enlaces de Amaranth-Dragon a APT41 se derivan de superposiciones en el arsenal de malware, aludiendo a una posible conexión o recursos compartidos entre los dos grupos.
threat_actor APT41
Los enlaces de Amaranth-Dragon a APT41 se derivan de superposiciones en el arsenal de malware, aludiendo a una posible conexión o recursos compartidos entre los dos grupos.
"Además, el estilo de desarrollo, como la creación de nuevos hilos dentro de las funciones de exportación para ejecutar código malicioso, espejos estrechos establecieron prácticas APT41", dijo Check Point.
En conjunto, estas superposiciones técnicas y operativas sugieren encarecidamente que Amaranth-Dragon está estrechamente vinculado o parte del ecosistema APT41, constantes patrones establecidos de apuntamiento y desarrollo de herramientas en la región".
organisation el arsenal de malware
Los enlaces de Amaranth-Dragon a APT41 se derivan de superposiciones en el arsenal de malware, aludiendo a una posible conexión o recursos compartidos entre los dos grupos.
organisation el estilo de desarrollo
"Además, el estilo de desarrollo, como la creación de nuevos hilos dentro de las funciones de exportación para ejecutar código malicioso, espejos estrechos establecieron prácticas APT41", dijo Check Point.
organisation gestión de infraestructura
"Tiempos de compilación, tiempo de campaña y gestión de infraestructura apuntan a un equipo disciplinado y bien financiado que opera en la zona
organisation Tel Aviv Dream Research Labs
como la compañía de ciberseguridad basada en Tel Aviv Dream Research Labs detalló una campaña orquestada por otro grupo nacional-estado chino rastreado como Mustang Panda que ha dirigido a funcionarios que participan en la diplomacia, las elecciones y la coordinación internacional en varias regiones entre diciembre de 2025 y mediados de enero de 2026.
organisation orquestada
como la compañía de ciberseguridad basada en Tel Aviv Dream Research Labs detalló una campaña orquestada por otro grupo nacional-estado chino rastreado como Mustang Panda que ha dirigido a funcionarios que participan en la diplomacia, las elecciones y la coordinación internacional en varias regiones entre diciembre de 2025 y mediados de enero de 2026.
organisation la operación dependía de la
"Más que explotar vulnerabilidades de software, la operación dependía de la impersonación y la confianza", la empresa dijo: "Victims were lured into opening files that appeared to be U.S.-linked diplomatic summaries or policy documents.
organisation finales de diciembre de 2022
naturaleza desde al menos hasta finales de diciembre de 2022.
organisation LNK
Presente dentro del archivo comprimido es un único archivo LNK que, cuando se lanza, activa la ejecución de un comando PowerShell que extrae y suelta un archivo TAR.
organisation fijo de byte
"La lógica de PowerShell incrustada busca recursivamente el archivo ZIP, lo lee como bytes crudos, y extrae una carga útil comenzando en un offset fijo de byte", explicó Dream.
organisation el momento de las señuelos
"La correlación entre los acontecimientos diplomáticos reales y el momento de las señuelos detectados sugiere que las campañas analógicas probablemente persistirán a medida que se desarrollen los desarrollos geopolíticos", concluyó Dream.
organisation maliciosos de distribución de LNK
"Las entidades que operan en sectores diplomáticos, gubernamentales y orientados a la política deben considerar, en consecuencia, métodos maliciosos de distribución de LNK y secuestros de pedidos DLL a través de ejecutables legítimos como amenazas persistentes y de alta prioridad en lugar de tácticas aisladas o fugaces".
Tactical Metrics
Metrics
infrastructure
​Winrar
Affected Product
China-Linked Amaranth-Dragon Exploits WinRAR Flaw in Espionage Campaigns.
Cadenas de ataque montadas por el adversario han sido encontradas para abusar CVE-2025-8088 , un defecto de seguridad ahora pareado que impacta RARLAB WinRAR que permite la ejecución arbitraria de código cuando los archivos especialmente elaborados son abiertos por objetivos.
Check Point believed that the lures were delivered via phishing emails to the intended victims, directing them to the malicious WinRAR files being hosted on legitimate cloud storage services.
New Hacking Campaign Exploits Microsoft Windows WinRAR Vulnerability.
A hacking campaign took just days to exploit a newly disclosed security vulnerability in Microsoft Windows version of WinRAR, researchers at Check Point have said.
The attackers leveraged CVE-2025-8088 , a path traversal vulnerability in the widely used file archive and compression software WinRAR, which was first disclosed in August 2025.
Metrics
data_breach
2,025
Septiembre De
En otra campaña dirigida a Indonesia a principios de septiembre de 2025, los actores de la amenaza optaron por distribuir un archivo RAR protegido por contraseña de Dropbox para ofrecer un acceso remoto totalmente funcional troyán (RAT) llamado
Metrics
infrastructure
​Windows
Affected Product
Por el contrario, las primeras iteraciones de la campaña detectadas en marzo de 2025 hicieron uso de archivos ZIP que contienen atajos de Windows (LNK) y lote (BAT) para descifrar
New Hacking Campaign Exploits Microsoft Windows WinRAR Vulnerability.
A hacking campaign took just days to exploit a newly disclosed security vulnerability in Microsoft Windows version of WinRAR, researchers at Check Point have said.
Intelligence Sources
The Hacker News 2026-02-04
Infosecurity-Magazine 2026-02-05