Due gruppi APT russi stanno sfruttando una vulnerabilità di WinRAR corretta quasi un anno fa per colpire l'Ucraina.

      TL;DRDue gruppi legati al FSB sfruttano un bug di WinRAR corretto a luglio 2025 per rubare credenziali ucraine. La patch esiste, ma l'adozione rimane lenta.

      Due gruppi di hacker legati allo stato russo stanno attivamente sfruttando una vulnerabilità di traversamento del percorso in WinRAR che è stata corretta quasi un anno fa, utilizzandola per distribuire malware rubacredenziali contro obiettivi governativi e militari ucraini, secondo una ricerca pubblicata da Trend Micro. Il difetto, tracciato come CVE-2025-8088 e valutato 8.4 sulla scala CVSS, consente agli attaccanti di abusare degli NTFS Alternate Data Streams per nascondere payload dannosi all'interno di file di archivio che appaiono innocui per il destinatario. La patch è stata distribuita in WinRAR 7.13 il 30 luglio 2025, ma lo sfruttamento attivo è iniziato almeno 12 giorni prima, e i due gruppi continuano a utilizzarla perché WinRAR rimane profondamente integrato nelle organizzazioni ucraine e l'adozione degli aggiornamenti è stata lenta.

      Gamaredon, il gruppo legato al FSB che Trend Micro traccia come Earth Dahu, sta utilizzando la vulnerabilità come punto di ingresso per una catena di infezione a più fasi. L'attacco inizia con un'email di spear-phishing contenente un archivio RAR armato che sfrutta CVE-2025-8088 per scaricare un file HTA, che esegue un caricatore VBScript chiamato GammaPhish. Quel caricatore scarica GammaLoad, un backdoor che stabilisce persistenza e recupera GammaSteel, lo strumento principale del gruppo per esfiltrare documenti e screenshot da macchine compromesse.

      SHADOW-EARTH-066, che il CERT ucraino traccia come UAC-0226, ha convergito indipendentemente sulla stessa vulnerabilità di WinRAR ma distribuisce malware diverso. Il gruppo in precedenza si affidava a macro Excel dannose per consegnare i suoi payload, ma è passato a catene di sfruttamento di WinRAR dopo che la vulnerabilità è diventata disponibile, un aggiornamento tattico che bypassa le impostazioni predefinite di blocco delle macro di Microsoft. Il suo payload è GIFTEDCROOK, un rubacredenziali che mira a password salvate e cookie di sessione da Chrome, Edge, Opera e Firefox, insieme a documenti memorizzati sul sistema compromesso.

      La convergenza di due gruppi APT russi separati su una singola vulnerabilità è notevole perché Gamaredon e SHADOW-EARTH-066 operano catene di strumenti diverse e sembrano servire obiettivi di raccolta di intelligence diversi, eppure entrambi hanno identificato CVE-2025-8088 come il modo più efficiente per raggiungere obiettivi ucraini. I ricercatori di Trend Micro Hiroyuki Kakara e Feike Hacquebord hanno documentato le campagne in un'analisi congiunta. Sekoia, la società francese di intelligence sulle minacce, ha corroborato indipendentemente la catena di Gamaredon e ha notato che il targeting del gruppo è rimasto concentrato su entità militari, forze dell'ordine e governative ucraine durante tutta la campagna.

      Un significativo cambiamento operativo accompagna le campagne di sfruttamento. Gamaredon storicamente utilizzava bot e canali Telegram per trasmettere i dati rubati ai suoi operatori, ma il gruppo ha iniziato a migrare l'esfiltrazione verso server di comando e controllo dedicati dall'inizio del 2026. Il tempismo si allinea con la decisione della Russia di limitare il traffico di Telegram a partire dal 10 febbraio 2026, una mossa confermata da CNN e Amnesty International che ha interrotto l'affidabilità della piattaforma all'interno della Russia e l'ha resa un canale meno affidabile per trasferimenti di dati riservati.

      RomCom, un altro gruppo APT di lingua russa, è stato il primo attore di minaccia a armare CVE-2025-8088, sfruttandolo prima che WinRAR rilasciasse la patch. Il fatto che almeno tre gruppi distinti abbiano ora costruito catene di sfruttamento attorno allo stesso bug sottolinea un problema strutturale: il divario tra quando le patch diventano disponibili e quando le organizzazioni effettivamente le distribuiscono offre agli attaccanti una finestra che può durare mesi o più. WinRAR non si aggiorna automaticamente nella maggior parte delle configurazioni aziendali, e le organizzazioni ucraine che operano in condizioni di guerra affrontano ulteriori barriere alla manutenzione software di routine.

      Le campagne fanno parte di un modello più ampio di operazioni informatiche sponsorizzate dallo stato russo che prendono di mira le infrastrutture europee e ucraine e che si sono intensificate dalla invasione su larga scala nel 2022. Il targeting di GIFTEDCROOK delle credenziali del browser è particolarmente pericoloso perché le password salvate e i cookie di sessione possono dare agli attaccanti accesso a account email, portali interni e piattaforme di comunicazione senza bisogno di violare ulteriori autenticazioni. Trend Micro ha notato che i dati del browser rubati spesso forniscono opportunità di movimento laterale che si estendono ben oltre la macchina inizialmente compromessa.

      Per le organizzazioni che utilizzano ancora WinRAR 7.12 o versioni precedenti, la soluzione è aggiornare alla versione 7.13 o successiva, che è stata disponibile da luglio 2025. Il fatto che la patch esista da quasi un anno mentre lo sfruttamento continua è il problema centrale. Gli amministratori che non possono aggiornare immediatamente dovrebbero trattare i file RAR in entrata con la stessa sospettosità ora applicata ad altri formati di archivio che sono stati armati in recenti attacchi di rete, e considerare di bloccare gli NTFS Alternate Data Streams al gateway email dove possibile.