Pesquisadores da ESET identificaram uma nova vulnerabilidade zero-day no WinRAR (CVE-2025-8088) que está sendo explorada ativamente pelo grupo de hackers RomCom, alinhado a interesses russos. O ataque, direcionado a empresas de diversos setores, demonstra o aumento da sofisticação do grupo e o uso crescente de táticas semelhantes a ataques à cadeia de suprimentos em campanhas de spear phishing.
A falha, reportada pela primeira vez em 18 de julho, consiste em um exploit de path traversal que se aproveita de fluxos de dados alternativos do Windows (ADSes) para ocultar arquivos maliciosos dentro de um arquivo RAR aparentemente legítimo. Ao extrair o conteúdo, que pode se passar por uma candidatura de emprego ou documento inofensivo, o código malicioso é executado silenciosamente, sem levantar suspeitas imediatas.
O WinRAR corrigiu a vulnerabilidade rapidamente, lançando uma versão beta com a solução poucos dias após a descoberta e disponibilizando a atualização final no dia 30 de julho.
O RomCom, também monitorado sob as designações Storm-0978, UNC2596 e Tropical Scorpius, já havia explorado outras falhas críticas, como a CVE-2023-36884 no Microsoft Word e uma cadeia de ataque zero-click envolvendo o Firefox e o Windows (CVE-2024-9680 e CVE-2024-49039). A atual campanha teve como alvo empresas dos setores financeiro, manufatureiro, de defesa e logística na Europa e no Canadá, alinhando-se a objetivos geopolíticos conhecidos do grupo.
A investigação revelou que os arquivos maliciosos incluíam entradas ADS com caminhos aninhados, projetadas para instalar uma DLL na pasta temporária do Windows e um arquivo .LNK na pasta de Inicialização, estabelecendo persistência por meio de um sequestro de COM.
A popularidade global do WinRAR torna este ataque especialmente perigoso, já que arquivos maliciosos podem se espalhar amplamente e serem executados por usuários sem conhecimento técnico. O uso de currículos falsos como isca aumenta a taxa de cliques, especialmente em departamentos de recrutamento, enquanto a técnica de ADS dificulta a detecção casual.
Especialistas recomendam atualizar imediatamente o WinRAR para a versão 7.13 ou superior, monitorar o comportamento durante a extração de arquivos, analisar cuidadosamente anexos relacionados a processos seletivos e compartilhar informações de inteligência sobre ameaças entre equipes de segurança.
O caso confirma que o RomCom tem incorporado vulnerabilidades zero-day como parte central de sua estratégia operacional, unindo elementos de cibercrime e espionagem. A capacidade do grupo de explorar recursos pouco utilizados do Windows para entrega furtiva de malware eleva significativamente o nível de ameaça. Para os defensores, a resposta não se limita a aplicar patches, mas também envolve detectar campanhas de phishing em larga escala, inspecionar dinamicamente conteúdo compactado e conscientizar usuários sobre riscos ocultos em arquivos aparentemente inofensivos.
A exploração da falha no WinRAR pelo RomCom reforça que até ferramentas cotidianas podem se tornar vetores discretos de espionagem patrocinada por Estados, intensificando a corrida entre atacantes e defensores no campo da cibersegurança.
