Source: Check Point Research — Dans un billet de synthèse, le laboratoire détaille des campagnes d’espionnage menées en 2025 par un nouvel acteur, Amaranth‑Dragon, contre des institutions gouvernementales et des forces de l’ordre en Asie du Sud‑Est, avec des liens techniques et opérationnels vers l’écosystème APT‑41.

🕵️‍♂️ Contexte et objectifs: Les opérations observées visaient des agences gouvernementales et de sécurité dans plusieurs pays de l’ASEAN, avec un objectif clair de collecte d’intelligence géopolitique sur le long terme. Les campagnes ont été minutieusement calées sur des événements politiques et sécuritaires locaux pour maximiser l’engagement des cibles.

⚙️ Méthodes et TTPs clés:

  • Phishing ciblé avec des leurres ancrés dans l’actualité locale (salaires gouvernementaux, exercices régionaux), via des archives malveillantes hébergées sur des services cloud de confiance.
  • Infrastructure restreinte géographiquement rejetant les connexions hors pays ciblés, limitant l’exposition et l’analyse externe.
  • Utilisation d’outils de sécurité légitimes détournés pour la persistance et l’accès furtif.
  • Temporalité contrôlée: campagnes à faible volume, focalisées sur 1–2 pays à la fois; opérations corrélées à des événements nationaux.
  • Cadence opérationnelle et pratiques de développement alignées sur le fuseau UTC+8.

🧩 Vulnérabilités et armement rapide: Point marquant, l’acteur a intégré en quelques jours la CVE‑2025‑8088 (WinRAR) dans des campagnes actives, après la divulgation publique et l’apparition de code d’exploitation, illustrant une capacité de weaponization accélérée.

🌏 Ciblage et attribution: Depuis mars 2025, des campagnes ont visé le Cambodge, la Thaïlande, le Laos, l’Indonésie, Singapour et les Philippines, culminant fin 2025 par des opérations contre des entités gouvernementales et maritimes philippines. Les recoupements techniques et opérationnels indiquent une affiliation étroite avec APT‑41, suggérant un rattachement ou une identité opérationnelle au sein de cet écosystème.

📌 Produits/technos concernés: WinRAR (CVE‑2025‑8088), services cloud utilisés comme vecteurs d’hébergement d’archives. Le billet renvoie au rapport complet pour les détails techniques, chronologies et indicateurs.

Il s’agit d’une publication de recherche visant à exposer une campagne d’analyse de menace et à orienter les défenseurs vers le rapport complet et ses IoC/TTPs.

🧠 TTPs et IOCs détectés

TTP

Phishing ciblé avec des leurres ancrés dans l’actualité locale, utilisation d’archives malveillantes hébergées sur des services cloud de confiance, infrastructure restreinte géographiquement, utilisation d’outils de sécurité légitimes détournés pour la persistance et l’accès furtif, temporalité contrôlée avec campagnes à faible volume, weaponization accélérée de vulnérabilités (CVE-2025-8088)

IOC

Non spécifiés dans l’analyse fournie. Pour plus de détails, se référer au rapport complet mentionné dans la publication.

🔗 Source originale : https://blog.checkpoint.com/research/amaranth-dragon-targeted-cyber-espionage-campaigns-across-southeast-asia/