A Check Point Research (CPR), a divisão de Inteligência de Ameaças da A Check Point Software, observou uma série de campanhas de espionagem cibernética acontecendo de forma discreta no Sudeste Asiático ao longo de 2025. Diferentemente do cibercrime oportunista, essas operações foram altamente focadas em instituições governamentais e agências de segurança pública, indicando um objetivo claro: coleta de inteligência geopolítica no longo prazo.
Muitas campanhas foram executadas em momentos estratégicos, coincidindo com desdobramentos políticos locais críticos, decisões oficiais de governo ou eventos regionais de segurança. Ao ancorar a atividade maliciosa em contextos familiares e atuais, os atacantes aumentaram significativamente a chance de engajamento por parte das vítimas.
A análise da CPR atribui essas campanhas ao Amaranth-Dragon, um grupo que ainda não havia sido documentado publicamente. Ferramentas e padrões operacionais mostram forte semelhança com o APT-41, um dos grupos de espionagem cibernética mais ativos ligados à China, o que sugere compartilhamento de recursos, conhecimento ou afiliação direta.
As campanhas foram desenhadas para serem altamente controladas. A infraestrutura do ataque foi configurada para interagir apenas com vítimas em países específicos, reduzindo a exposição fora do alvo e limitando rastros. Após estabelecer o acesso, os atacantes implantaram ferramentas frequentemente usadas em testes legítimos de segurança, mas reaproveitadas aqui para manter persistência no ambiente comprometido.
Um momento crítico na atividade do Amaranth-Dragon ocorreu com a divulgação da CVE-2025-8088, uma vulnerabilidade que afeta o popular utilitário de compactação WinRAR. Em poucos dias após a divulgação pública, e pouco tempo depois de o código de exploração aparecer online, o grupo já havia incorporado a falha em campanhas ativas.
A velocidade e a confiança com que essa vulnerabilidade foi operacionalizada reforçam a maturidade técnica do grupo e um nível elevado de prontidão.
Campanhas construídas em torno de países, não de volume
Desde março de 2025, a Check Point Research acompanhou múltiplas campanhas do Amaranth-Dragon com foco em países como Camboja, Tailândia, Laos, Indonésia, Singapura e Filipinas. Cada operação teve escopo bem definido, normalmente concentrada em apenas um ou dois países por vez.
Em vez de apostar em distribuição massiva, os atacantes personalizaram as iscas de acordo com desdobramentos políticos, econômicos ou militares locais, como anúncios sobre salários do governo ou exercícios regionais conjuntos. Embora o canal exato de entrega não tenha sido confirmado de forma conclusiva, o caráter altamente direcionado das campanhas indica fortemente o uso de e-mails de phishing enviados diretamente às vítimas pretendidas.
Arquivos compactados maliciosos eram frequentemente hospedados em plataformas de nuvem amplamente conhecidas, o que ajudava a criar aparência de legitimidade e reduzir suspeitas.
Um dos principais diferenciais dessas campanhas foi a aplicação rígida de restrição geográfica. A infraestrutura dos atacantes rejeitava ativamente conexões vindas de fora dos países-alvo, limitando a exposição e dificultando investigações externas. Esse nível de controle é raro em operações criminosas comuns e é fortemente associado a espionagem alinhada a Estados-nação.
Com o tempo, as campanhas evoluíram em sofisticação, culminando em operações no final de 2025 direcionadas ao governo filipino e a agências marítimas, cuidadosamente sincronizadas com eventos nacionais oficiais.
Atribuição: uma linha clara até o APT-41
Diversos indicadores técnicos e operacionais conectam o Amaranth-Dragon ao APT-41, grupo chinês de espionagem cibernética ativo há anos e conhecido por atacar governos em diferentes regiões do mundo.
Ambos apresentam foco em entidades governamentais e de segurança pública no Sudeste Asiático, além de abordagens semelhantes na construção de ferramentas e na execução das campanhas. Padrões de gestão de infraestrutura, timing operacional e práticas de desenvolvimento apontam para uma equipe bem financiada, operando no fuso UTC+8 (oito horas à frente do Tempo Universal Coordenado — UTC).
Em conjunto, esses elementos sugerem fortemente que o Amaranth-Dragon esteja estreitamente afiliado ao APT-41 ou atuando como parte do ecossistema mais amplo do grupo, ampliando esforços já estabelecidos de espionagem na região sob uma nova identidade operacional.
As campanhas reforçam como a espionagem cibernética moderna combina velocidade, precisão e intenção geopolítica. Vulnerabilidades podem ser transformadas em armas em questão de dias após a divulgação, e ataques de phishing altamente personalizados podem driblar defesas tradicionais de perímetro.
Para órgãos governamentais e organizações de setores críticos, o cenário destaca a necessidade de:
- aplicação rápida de correções (patching)
- visibilidade reforçada sobre ameaças baseadas em arquivos
- segurança em camadas, tanto em endpoints quanto nos canais de comunicação
Com governos da região enfrentando mudanças políticas e aumento de tensões marítimas, essas campanhas mostram como agentes alinhados a Estados-nação estão operacionalizando novas vulnerabilidades com rapidez e explorando momentos geopolíticos para maximizar impacto e eficiência.
