Se você ainda usa versões antigas do WinRAR, atenção redobrada. Um relatório recém-publicado pela Check Point Research (CPR) revela que o grupo de ciberespionagem chinês Amaranth-Dragon vem explorando a falha crítica CVE-2025-8088 para se infiltrar em órgãos governamentais e escritórios de advocacia em países como Camboja, Laos, Indonésia, Filipinas, Tailândia e Singapura ao longo de 2025.
O que torna o WinRAR a peça-chave do ataque?
O WinRAR, apesar de onipresente em PCs com Windows há mais de duas décadas, não possui mecanismo de atualização automática. Isso significa que a correção lançada para a vulnerabilidade CVE-2025-8088 só é aplicada caso o usuário baixe manualmente a versão mais recente — um cenário perfeito para criminosos que contam com a “preguiça” ou desconhecimento das vítimas.
Para efeito de comparação, alternativas gratuitas como 7-Zip ou o próprio descompactador nativo do Windows 11 recebem updates pelo Windows Update, reduzindo essa janela de exposição. Em sistemas corporativos, onde protocolos de atualização normalmente passam por múltiplas aprovações, a demora pode ser ainda maior — exatamente o elo fraco aproveitado pelo Amaranth-Dragon.
A anatomia da investida: de e-mails certeiros ao “Amaranth Loader”
Segundo a CPR, o grupo mistura spear-phishing personalizado — e-mails cravados em eventos políticos delicados — com links de armazenamento em nuvem legítimos (ex.: Dropbox) para entregar arquivos RAR contaminados. Uma vez extraídos, esses arquivos ativam o Amaranth Loader, responsável por um side-loading que injeta código malicioso em processos confiáveis do Windows.
A tática lembra ferramentas já atribuídas ao APT 41, coletivo ligado ao governo chinês. Nomes como DodgeBox, DUSTPAN e DUSTTRAP aparecem no mesmo ecossistema de engenharia reversa, reforçando que o Amaranth-Dragon não trabalha isolado.
Conexão blindada na Cloudflare para fugir de radares
Depois da infecção inicial, a ameaça estabelece canal criptografado com servidores de Comando e Controle (C2), todos hospedados na Cloudflare. O diferencial? Os domínios C2 aceitam tráfego apenas de endereços IP pertencentes aos países-alvo, ofuscando tentativas de análise feitas de fora da região.
Esse C2 entrega uma chave que decripta payloads adicionais diretamente na memória, usando o framework Havoc — combinação que evita gravações no disco e dificulta o trabalho de antivírus convencionais. Em algumas ações, foi identificado o TGAmaranth RAT, trojan que garante acesso persistente e exfiltra documentos estratégicos por meses.
Imagem: William R
Por que essa ameaça importa para você?
Mesmo que a ofensiva mire governos do Sudeste Asiático, a técnica de explorar software de compressão popular é universal. Empresas brasileiras que trocam arquivos RAR com fornecedores internacionais ou departamentos jurídicos estão no mesmo barco. Um único clique pode abrir caminho para espionagem industrial, vazamento de contratos ou credenciais de acesso à nuvem.
Além disso, a dinâmica de “update manual” afeta não só o WinRAR, mas qualquer utilitário legado sem canal automático de patch. Se você gerencia um parque de máquinas gamer, workstations de criação ou servidores de arquivos, automatizar o inventário de software e adotar ferramentas com ciclo de update integrado tornou-se medida de sobrevivência, não luxo.
Boas práticas para não virar estatística
- Faça o download da versão mais recente do WinRAR diretamente do site oficial ou migre para alternativas open source como 7-Zip.
- Habilite filtragem de anexos em gateways de e-mail corporativo, bloqueando arquivos compactados executáveis.
- Implemente políticas de Least Privilege — usuários comuns não devem instalar software sem aprovação.
- Use soluções de EDR (Endpoint Detection and Response) capazes de identificar side-loading e injeção de código na memória.
- Mantenha backups off-line; um RAT com acesso privilegiado pode criptografar arquivos ou sabotá-los.
O relatório da CPR conclui apontando o compartilhamento de infraestrutura e know-how entre diferentes células chinesas, sinal de que a linha entre espionagem estatal e cibercrime profissional segue cada vez mais tênue. Para o usuário final, a lição é direta: deixe a atualização manual no passado e reforce sua postura de segurança — antes que a próxima campanha escolha outro software popular como porta de entrada.
Com informações de Hardware.com.br
