Nel corso del 2025 una nuova ondata di cyber spionaggio ha preso di mira enti governativi e forze dell ordine nel Sud Est asiatico, con operazioni attribuite a un cluster collegato alla Cina identificato come Amaranth Dragon. I paesi interessati includono Cambogia, Thailandia, Laos, Indonesia, Singapore e Filippine. Le campagne risultano mirate e limitate nel raggio di azione, un segnale tipico di attori che puntano alla persistenza di lungo periodo per la raccolta di intelligence geopolitica.

Un elemento chiave è la capacità di legare le esche a eventi reali e sensibili, come sviluppi politici locali, decisioni ufficiali e dinamiche di sicurezza regionale. Questo approccio aumenta la probabilità che i destinatari aprano allegati o link, rendendo più efficace lo spear phishing. In diversi casi i file malevoli sarebbero stati ospitati su piattaforme cloud note come Dropbox, scelta utile a ridurre i sospetti e a superare controlli perimetrali tradizionali.

La catena di infezione ha incluso lo sfruttamento della vulnerabilità CVE 2025 8088 di WinRAR, che consente esecuzione di codice quando si aprono archivi appositamente costruiti. L utilizzo dell exploit è stato osservato poco dopo la divulgazione pubblica, evidenziando maturità tecnica e rapidità di operatività. All interno dell archivio compaiono componenti progettati per il DLL side loading, tecnica spesso associata a gruppi cinesi, con un loader dedicato che avvia la fase successiva dell attacco.

Una volta in esecuzione, il loader contatta un server esterno per ottenere una chiave di cifratura, poi scarica un payload cifrato da un altro indirizzo, lo decifra e lo esegue in memoria. Il payload finale può includere un framework di comando e controllo come Havoc, utile a gestire in modo flessibile le attività post compromissione. In varianti precedenti sono stati osservati ZIP con collegamenti LNK e script BAT per avviare lo stesso schema di esecuzione.

In una campagna distinta in Indonesia è stato distribuito un archivio RAR protetto da password per installare un RAT capace di ricevere comandi, fare screenshot, eseguire comandi di shell, e trasferire file in upload e download. Per ridurre l esposizione, l infrastruttura C2 risulta protetta da servizi come Cloudflare e configurata per accettare traffico solo da indirizzi IP dei paesi bersaglio, una misura che aumenta la furtività e limita l analisi esterna.