文章总结： Amaranth-Dragon组织利用WinRAR漏洞CVE-2025-8088攻击东南亚目标。通过路径遍历将恶意脚本写入启动文件夹实现持久化，部署AmaranthLoader与Havoc框架窃取数据。建议立即修补WinRAR漏洞。 综合评分： 88 文章分类： 威胁情报,漏洞分析,恶意软件

Amaranth-Dragon 威胁组织利用 WinRAR 漏洞获取受害者系统的持久访问权限

会杀毒的单反狗 会杀毒的单反狗

军哥网络安全读报

2026年2月6日 09:15 中国台湾

导读

一个名为Amaranth-Dragon的复杂威胁组织对东南亚敏感目标发起一系列极具针对性的攻击，利用诱饵文件渗透敏感网络。

该组织利用广泛使用的 WinRAR 压缩软件中的一个关键漏洞进行武器化攻击。

该漏洞编号为 CVE-2025-8088，它利用路径遍历漏洞，允许攻击者通过构造恶意归档文件在受害者系统上执行任意代码。

通过利用这一弱点，攻击者可以绕过传统的安全措施，并在敏感的政府网络中建立立足点，有效地将标准管理工具变成绕过标准安全协议的入侵途径。

感染过程通常始于传播这些带有恶意 RAR 文件的压缩包，很可能是通过鱼叉式网络钓鱼电子邮件传播，目的是诱使受害者打开附件。

一旦归档文件被处理，该漏洞就会触发一系列操作，将恶意脚本直接放入系统的启动文件夹中。这样可以确保恶意软件在受害者每次重启计算机时自动执行，从而使攻击者无需管理员权限即可持久存在。

在首次入侵成功后，攻击者部署了一种名为 Amaranth Loader 的自定义有效载荷。

该加载器负责从命令与控制服务器检索加密的有效载荷，这些服务器通常受到 Cloudflare 等合法服务的保护，以逃避检测。

最终目标是部署 Havoc 框架，这是一个开源的后渗透工具，它赋予攻击者持久的远程控制权和窃取敏感数据的能力。

该攻击的技术执行很大程度上依赖于对 RAR 压缩包内文件路径的精确操控。当用户尝试提取恶意文件时，CVE-2025-8088 漏洞无法正确清理目标路径。这一漏洞使得攻击者能够将文件写入预期提取文件夹之外的地方。

恶意批处理文件或命令文件一旦植入，就会一直处于休眠状态，直到下次系统重启。

重启后，该脚本会执行并通过合法的可执行文件侧载 Amaranth Loader，从而有效地掩盖恶意活动，使其不被普通观察者发现，并允许威胁行为者保持长期访问权限。

为了抵御这些有针对性的威胁，各组织必须优先立即修补WinRAR 漏洞。

技术报告：

《Amaranth Loader将 CVE-2025-8088 武器化用于东南亚的定向间谍活动》

https://research.checkpoint.com/2026/amaranth-dragon-weaponizes-cve-2025-8088-for-targeted-espionage/

新闻链接：

Amaranth-Dragon Exploiting WinRAR Vulnerability to Gain Persistent to Victim Systems

今日安全资讯速递

APT事件

Advanced Persistent Threat

曹县APT37 利用LNK文件部署复杂的恶意软件针对专注于半岛事务的专业人士

Chollima APT Hackers Weaponize LNK Files to Deploy Sophisticated Malware

俄罗斯 APT28 利用微软 Office 漏洞发起恶意软件攻击

Russian hackers are exploiting recently patched Microsoft Office vulnerability (CVE-2026-21509)

Mustang Panda黑客组织利用虚假外交简报安装监控工具

Chinese Mustang Panda Used Fake Diplomatic Briefings to Spy on Officials

Amaranth-Dragon利用 WinRAR 漏洞进行间谍活动

https://thehackernews.com/2026/02/china-linked-amaranth-dragon-exploits.html

一般威胁事件

General Threat Incidents

Interlock勒索软件利用游戏反作弊驱动程序0day工具，禁用EDR和AV系统

Interlock Ransomware Actors New Tool Exploiting Gaming Anti-Cheat Driver 0-Day to Disable EDR and AV

PhantomVAI 自定义加载器使用 RunPE 工具攻击用户

PhantomVAI Custom Loader Uses RunPE Utility to Attack Users

SystemBC僵尸网络劫持了全球1万台设备用于DDoS攻击

SystemBC Botnet Hijacked 10,000 Devices Worldwide to Use for DDoS Attacks

GreyNoise 发现一个使用 63000 多个住宅代理和 AWS 的双模式 Citrix Gateway 侦察活动

GreyNoise tracks massive Citrix Gateway recon using 63K+ residential proxies and AWS

ValleyRAT伪装成LINE安装程序攻击用户窃取登录信息

ValleyRAT Mimic as LINE Installer Attacking Users to Steal Login Details

微软报告：信息窃取恶意软件已从 Windows 扩展到 macOS

Microsoft: Info-Stealing malware expands from Windows to macOS

借助AI辅助，AWS入侵者在不到10分钟的时间内获得管理员权限

https://www.theregister.com/2026/02/04/aws_cloud_breakin_ai_assist/

漏洞事件

Vulnerability Incidents

VMware ESXi 中的 CVE-2025-22225 漏洞现已被用于勒索软件攻击

CVE-2025-22225 in VMware ESXi now used in active ransomware attacks

Chrome漏洞允许攻击者执行任意代码并导致系统崩溃

Chrome Vulnerabilities Let Attackers Execute Arbitrary Code and Crash System

SolarWinds Web Help Desk 严重漏洞遭受攻击

https://www.theregister.com/2026/02/04/critical_solarwinds_web_help_desk/

n8n AI 工作流自动化平台的两大关键缺陷可能导致完全接管

https://www.infosecurity-magazine.com/news/two-critical-flaws-in-n8n-ai/

研究人员披露了Docker AI助手的一个已修复漏洞，该漏洞可执行代码

https://www.cysecurity.news/2026/02/researchers-disclose-patched-flaw-in.html

ASUSTOR NAS 存在严重安全漏洞，可导致设备完全被控制

Critical ASUSTOR NAS Security Flaw Enables Complete Device Takeover

TP-Link漏洞使黑客能够完全控制设备

TP-Link Vulnerabilities Let Hackers Take Full Control of Devices

Ingress-NGINX漏洞可导致任意代码执行攻击

Ingress-NGINX Flaw Enables Arbitrary Code Execution Attacks

Django 严重漏洞允许发起拒绝服务攻击和 SQL 注入攻击

Critical Django Flaw Allows DoS and SQL Injection Attacks

黑客利用 React Native CLI 的漏洞在公开披露前部署了 Rust 恶意软件

Hackers abused React Native CLI flaw to deploy Rust malware before public disclosure

扫码关注

军哥网络安全读报

讲述普通人能听懂的安全故事

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：军哥网络安全读报 会杀毒的单反狗 会杀毒的单反狗《Amaranth-Dragon 威胁组织利用 WinRAR 漏洞获取受害者系统的持久访问权限》