Check Point Research descubrió campañas de ciberespionaje altamente dirigidas contra agencias gubernamentales y fuerzas de seguridad en toda la región de la ASEAN a lo largo de 2025.
| Una nueva campaña de ciberespionaje se despliega en el Sudeste Asiático A lo largo de 2025, Check Point Research observó una serie de campañas de ciberespionaje que se desarrollaban discretamente en el Sudeste Asiático. A diferencia de los delitos cibernéticos oportunistas, estas operaciones se centraban estrictamente en instituciones gubernamentales y fuerzas del orden, lo que sugería un objetivo claro: la recopilación de inteligencia geopolítica a largo plazo. Muchas de las campañas se programaron para coincidir con acontecimientos políticos locales sensibles, decisiones gubernamentales oficiales o eventos de seguridad regional. Al anclar la actividad maliciosa en contextos familiares y oportunos, los atacantes aumentaron significativamente la probabilidad de que los objetivos interactuaran con el contenido. Nuestro análisis atribuye estas campañas a Amaranth-Dragon, un grupo de amenazas no documentado públicamente previamente. Las herramientas y los patrones operativos muestran fuertes similitudes con APT-41, uno de los grupos de ciberespionaje chinos más activos y capaces, lo que sugiere recursos, conocimientos o afiliación directa compartidos. Las campañas se diseñaron para estar altamente controladas. La infraestructura de ataque se configuró para interactuar únicamente con víctimas en países objetivo específicos, lo que limita la exposición más allá de los objetivos previstos. Una vez establecido el acceso, los atacantes implementaron herramientas comúnmente utilizadas en pruebas de seguridad legítimas, reutilizadas aquí para mantener el acceso persistente. Explotando la Velocidad: Convirtiendo la Divulgación en Oportunidad Un momento crítico en la actividad de Amaranth-Dragon llegó con la divulgación de CVE-2025-8088, una vulnerabilidad que afectaba a la popular herramienta de compresión WinRAR. A los pocos días de la divulgación pública y poco después de la explotación, el código apareció en línea. El grupo ya había incorporado la vulnerabilidad en campañas activas. La velocidad y la confianza con la que se puso en funcionamiento esta vulnerabilidad subrayan la madurez técnica y la preparación del grupo. Campañas Creadas en Países, No en Volumen Desde marzo de 2025, Check Point Research ha rastreado múltiples campañas de Amaranth-Dragon dirigidas a Camboya, Tailandia, Laos, Indonesia, Singapur y Filipinas. Cada operación tenía un alcance muy limitado, centrándose generalmente en uno o dos países a la vez. En lugar de basarse en la distribución masiva, los atacantes adaptaron sus señuelos a los acontecimientos políticos, económicos o militares locales, como anuncios de salarios gubernamentales o ejercicios regionales conjuntos. Si bien no se pudo confirmar de forma concluyente el canal de distribución exacto, la naturaleza altamente selectiva de las campañas sugiere firmemente el uso de correos electrónicos de phishing enviados directamente a las víctimas. Los archivos maliciosos solían estar alojados en plataformas en la nube reconocidas, lo que les daba una apariencia de legitimidad y reducía las sospechas. Una característica destacada de estas campañas era la estricta aplicación de medidas geográficas. La infraestructura de los atacantes rechazaba activamente las conexiones provenientes de fuera de los países objetivo, lo que limitaba la exposición y complicaba la investigación externa. Este nivel de control es poco común en operaciones criminales y está fuertemente asociado con el espionaje estatal. Con el tiempo, las campañas se fueron sofisticando, culminando en operaciones a finales de 2025 dirigidas al gobierno filipino y a las agencias marítimas, cuidadosamente programadas en torno a eventos nacionales oficiales. Atribución: Una línea clara con APT-41 Múltiples indicadores técnicos y operativos vinculan a Amaranth-Dragon con APT-41, un grupo chino de ciberespionaje de larga trayectoria conocido por atacar a gobiernos de todo el mundo. Ambos grupos comparten un enfoque en las entidades gubernamentales y policiales del sudeste asiático, así como enfoques similares para el desarrollo de herramientas y la ejecución de campañas. Los patrones en la gestión de la infraestructura, la sincronización operativa y las prácticas de desarrollo apuntan a un equipo con recursos suficientes que opera dentro de la zona horaria UTC+8. En conjunto, estas coincidencias sugieren firmemente que Amaranth-Dragon está estrechamente afiliado o opera como parte del ecosistema más amplio de APT-41, ampliando las iniciativas de espionaje establecidas en la región bajo una nueva identidad operativa. Qué significa esto para la ciberseguridad Estas campañas ponen de relieve cómo el ciberespionaje moderno combina velocidad, precisión e intenciones geopolíticas. Las vulnerabilidades pueden convertirse en armas a los pocos días de su divulgación, y los ataques de phishing cuidadosamente diseñados pueden eludir las defensas perimetrales tradicionales. Para las agencias gubernamentales y organizaciones de sectores sensibles, esto resalta la importancia de la rápida aplicación de parches, una sólida visibilidad de las amenazas basadas en archivos y una seguridad por capas en los endpoints y los canales de comunicación. Lea el informe completo de investigación Este blog destaca los hallazgos clave de una investigación en curso. Para obtener detalles técnicos completos, cronogramas de la campaña e indicadores de vulnerabilidad, lea el informe completo de Check Point Research aquí. Acerca de Check Point ResearchCheck Point Research proporciona inteligencia de ciberamenazas líder a los clientes de Check Point Software y a la comunidad de inteligencia en general. El equipo de investigación recopila y analiza datos globales de ciberataques almacenados en ThreatCloud para mantener a raya a los piratas informáticos, al tiempo que garantiza que todos los productos de Check Point estén actualizados con las últimas protecciones. El equipo de investigación está formado por más de 100 analistas e investigadores que cooperan con otros proveedores de seguridad, las fuerzas de seguridad y varios CERT. Acerca de Check Point Software Technologies Ltd.Check Point Software Technologies Ltd. (www.checkpoint.com) es un proveedor líder de plataformas de ciberseguridad basadas en la nube y basadas en IA que protege a más de 100 000 organizaciones en todo el mundo. Check Point aprovecha el poder de la IA en todas partes para mejorar la eficiencia y la precisión de la ciberseguridad a través de su plataforma Infinity, con tasas de detección líderes en la industria que permiten una anticipación proactiva de las amenazas y tiempos de respuesta más rápidos e inteligentes. La plataforma integral incluye tecnologías entregadas en la nube que consisten en Check Point Harmony para proteger el espacio de trabajo, Check Point CloudGuard para proteger la nube, Check Point Quantum para proteger la red y Check Point Infinity Core Services para operaciones y servicios de seguridad colaborativos. |