- Amaranth Dragon، المرتبط بـ APT41، ينضم إلى المجموعات التي تستغل WinRAR CVE-2025-8088
- تشمل الأهداف مؤسسات في جميع أنحاء جنوب شرق آسيا، باستخدام أدوات التحميل المخصصة وخوادم Cloudflare المقنعة
- تمت إساءة استخدام الثغرات الأمنية منذ منتصف عام 2025 من قبل العديد من الجهات الحكومية، مع إخفاء البرامج الضارة عبر تدفقات البيانات البديلة
يمكننا الآن إضافة Amaranth Dragon إلى قائمة الجهات الفاعلة التي ترعاها الدولة الصينية والتي تستغل ثغرة WinRAR المكتشفة حديثًا.
وقال الباحثون الأمنيون في Check Point إنهم شاهدوا هجمات قادمة من هذه المجموعة، تستهدف منظمات في سنغافورة وتايلاند وإندونيسيا وكمبوديا ولاوس والفلبين.
في أواخر يناير 2026، ظهرت أخبار تفيد بأن WinRAR، برنامج أرشفة Windows الشهير، يحتوي على ثغرة أمنية عالية الخطورة تسمح للجهات الفاعلة في مجال التهديد بتنفيذ تعليمات برمجية عشوائية على نقاط النهاية المخترقة. تم وصف الخطأ على أنه خلل في اجتياز المسار، مما يؤثر على الإصدارات 7.12 والإصدارات الأقدم. يتم تتبعه باسم CVE-2025-8088، بدرجة خطورة 8.4/10 (عالية).
عندما تم اكتشاف الثغرة الأمنية لأول مرة، حذرت العديد من الأجهزة الأمنية من أنه يتم إساءة استخدامها من قبل العديد من الجهات الفاعلة في مجال التهديد – سواء التي ترعاها الدولة أو غيرها. الآن، تشير التقارير الجديدة إلى أن من بينهم Amaranth Dragon، وهو ممثل تهديد يُزعم أنه مرتبط بـ APT41. تستخدم هذه المجموعة مزيجًا من الأدوات الشرعية والمحمل المخصص، الذي ينشر حمولات مشفرة من خادم مخفي خلف البنية التحتية لـ Cloudflare.
ذكرت تقارير سابقة أن RomCom، وهي مجموعة متحالفة مع الحكومة الروسية، أساءت استخدام هذا الخطأ لنشر NESTPACKER ضد الوحدات العسكرية الأوكرانية. ذكر بعض الباحثين أيضًا APT44 وTurla وCarpathian والعديد من الجهات الفاعلة الصينية التي كانت تسقط البرنامج الضار POISONIVY.
قالت مجموعة Threat Intelligence Group (GTIG) من Google، وهي ذراع الأمن السيبراني الذي يتتبع في الغالب المهاجمين الذين ترعاهم الدول، إن أولى علامات سوء الاستخدام شوهدت في منتصف يوليو 2025. ومنذ ذلك الحين، كان المتسللون يستخدمون ميزة تدفقات البيانات البديلة (ADS) في WinRAR لكتابة برامج ضارة إلى مواقع عشوائية على الأجهزة المستهدفة. ويبدو أن Amaranth Dragon بدأ في استخدام هذا الخطأ في منتصف أغسطس من العام الماضي، بعد أيام فقط من الإعلان عن أول استغلال للثغرة.
وقالت جوجل: “بينما يشاهد المستخدم عادة مستندًا خادعًا، مثل ملف PDF، داخل الأرشيف، هناك أيضًا إدخالات إعلانات ضارة، بعضها يحتوي على حمولة مخفية بينما البعض الآخر عبارة عن بيانات وهمية”.
عبر BleepingComputer
أفضل برامج مكافحة الفيروسات لجميع الميزانيات
اتبع TechRadar على أخبار جوجل و أضفنا كمصدر مفضل للحصول على أخبار الخبراء والمراجعات والآراء في خلاصاتك. تأكد من النقر على زر المتابعة!
وبالطبع يمكنك أيضًا اتبع TechRadar على TikTok للحصول على الأخبار والمراجعات وفتح الصناديق في شكل فيديو، والحصول على تحديثات منتظمة منا على واتساب أيضاً.
التعليقات