Peneliti keamanan mengungkap kemunculan grup spionase siber baru bernama Amaranth Dragon yang memanfaatkan celah keamanan WinRAR untuk melancarkan serangan terhadap lembaga pemerintah dan penegak hukum. Aktivitas kelompok ini dikaitkan dengan operasi siber yang didukung negara dan memiliki keterkaitan dengan APT41 yang berafiliasi dengan Tiongkok.
Serangan tersebut mengeksploitasi kerentanan CVE-2025-8088 pada WinRAR, sebuah celah yang memungkinkan penyerang menulis berkas berbahaya ke lokasi arbitrer di sistem Windows dengan memanfaatkan fitur Alternate Data Streams. Kerentanan ini telah dimanfaatkan secara luas oleh berbagai aktor ancaman sejak pertengahan 2025, termasuk dalam serangan zero-day untuk mencapai persistensi dengan menjatuhkan malware ke folder Startup Windows.
Target Regional dan Pola Serangan Terarah
Berdasarkan analisis peneliti, Amaranth Dragon menargetkan organisasi di kawasan Asia Tenggara, termasuk Singapura, Thailand, Indonesia, Kamboja, Laos, dan Filipina. Setiap kampanye dirancang sangat terfokus, biasanya hanya menyasar satu atau dua negara, dengan pembatasan geografis yang ketat untuk meminimalkan eksposur dan meningkatkan efektivitas serangan.
Umpan serangan yang digunakan juga disesuaikan dengan konteks lokal dan isu geopolitik terkini di masing-masing wilayah. Pendekatan ini menunjukkan tingkat perencanaan operasional yang matang serta pemahaman mendalam terhadap target.
Evolusi Teknik Eksploitasi
Sebelum eksploit CVE-2025-8088 tersedia secara publik, Amaranth Dragon menggunakan arsip ZIP yang berisi berkas pintasan dan skrip untuk mendekripsi serta menjalankan loader khusus mereka. Setelah eksploit WinRAR dapat dimanfaatkan, kelompok ini beralih ke metode yang lebih efisien dengan menempatkan skrip berbahaya langsung ke folder Startup Windows. Dalam beberapa kasus, kunci Registry Run juga ditambahkan sebagai mekanisme cadangan untuk memastikan persistensi.
Rantai serangan tersebut kemudian mengeksekusi aplikasi bertanda tangan digital yang memuat Amaranth Loader melalui teknik DLL sideloading. Loader ini bertugas mengambil muatan terenkripsi dari server kendali jarak jauh dan mendekripsinya langsung di memori, sehingga mempersulit deteksi.
Infrastruktur C2 dan Muatan Berbahaya
Untuk meningkatkan stealth, server command-and-control ditempatkan di balik infrastruktur perlindungan jaringan, dengan konfigurasi yang hanya menerima koneksi dari wilayah target. Muatan yang dikirimkan sering kali berupa kerangka kerja pasca-eksploitasi yang telah dikenal luas, digunakan untuk kendali lanjutan dan pengumpulan data.
Dalam kampanye terbaru, peneliti juga mengidentifikasi penggunaan alat akses jarak jauh baru yang dirancang khusus oleh kelompok ini. Perangkat tersebut memanfaatkan bot Telegram untuk komunikasi C2 dan mendukung fungsi seperti unggah-unduh berkas, pengambilan tangkapan layar, serta enumerasi proses yang berjalan di sistem korban. Berbagai teknik anti-analisis diterapkan untuk menghindari deteksi oleh antivirus dan solusi EDR.
Imbauan Keamanan bagi Organisasi
Melihat masifnya eksploitasi CVE-2025-8088 oleh banyak kelompok ancaman, organisasi sangat disarankan untuk segera memperbarui WinRAR ke versi yang telah menutup celah tersebut. Selain itu, pemantauan aktivitas anomali pada sistem, pembatasan eksekusi berkas startup, serta penerapan kontrol keamanan berlapis menjadi langkah penting untuk mengurangi risiko.
Peneliti menilai bahwa operasi Amaranth Dragon menunjukkan tingkat kecakapan teknis dan disiplin operasional yang tinggi, serta kemampuan beradaptasi cepat terhadap peluang eksploitasi baru. Temuan ini kembali menegaskan bahwa celah pada perangkat lunak populer dapat dimanfaatkan secara luas dalam operasi spionase terarah jika tidak segera ditangani.