WinRAR sob fogo russo: CVE-2025-8088 segue ativa contra a Ucrânia quase um ano após o patch

Quase um ano depois do patch, a falha CVE-2025-8088 no WinRAR continua sendo arma preferida de grupos russos contra a Ucrânia. Trend Micro confirmou que duas operações distintas — Earth Dahu (Gamaredon) e SHADOW-EARTH-066 (UAC-0226) — exploram a vulnerabilidade de path traversal via Alternate Data Streams (ADS) para implantar o stealer GIFTEDCROOK e o conjunto de espionagem GammaLoad/GammaSteel em organizações ucranianas.

O que aconteceu

Pesquisadores da Trend Micro publicaram nesta segunda-feira uma análise mostrando que o CVE-2025-8088, corrigido pelo time do WinRAR em julho de 2025, segue sendo encadeado em campanhas ativas mesmo dez meses depois da disponibilização da correção. A falha permite que um atacante escreva arquivos fora do diretório de extração ao abusar de NTFS Alternate Data Streams, abrindo a porta para persistência e execução automática logo no próximo login da vítima.

O alvo permanece o mesmo: organizações ucranianas em setores governamentais, defesa e infraestrutura crítica. A diferença é que, segundo Hiroyuki Kakara e Feike Hacquebord, da Trend Micro, dois agrupamentos distintos — um vinculado ao GRU-adjacente Gamaredon e outro rastreado isoladamente como SHADOW-EARTH-066/UAC-0226 — convergem hoje no mesmo bug, sinal de que o software não atualizado virou o gargalo defensivo do país.

O que torna o caso preocupante não é a sofisticação técnica, mas a longevidade. O patch existe, é gratuito, e ainda assim a base instalada vulnerável é suficiente para manter operações de inteligência por trimestres consecutivos.

Como o ataque funciona

A nova cadeia de infecção do SHADOW-EARTH-066 marca uma virada em relação ao histórico do ator, que costumava distribuir droppers em macros do Excel para entregar o GIFTEDCROOK. A versão de 2026 abandona o documento Office em favor de arquivos RAR maliciosos que combinam um PDF-isca legítimo com três payloads ocultos em ADS — uma técnica que escapa de inspeções superficiais de antivírus que olham apenas o conteúdo principal do arquivo.

O primeiro payload é um Windows Shortcut (LNK) gravado diretamente na pasta Startup, garantindo persistência sem alteração de registro. Ao próximo logon, o LNK aciona um loader em PowerShell via cmd.exe, que carrega uma DLL em memória — uma nova edição do GIFTEDCROOK, agora batizada internamente como result.dll. O stealer coleta senhas e cookies de Chrome, Edge, Opera e Firefox, varre o disco por extensões de documento de interesse e exfiltra tudo. Detalhe importante: a versão atual abandona o Telegram como canal de comando-e-controle (bloqueado na Rússia desde fevereiro) e passa a usar servidores C2 dedicados, dificultando atribuição e takedowns.

“O caso mostra como software não gerenciado mantém um ponto de entrada aberto muito depois de o patch chegar.”

Hiroyuki Kakara e Feike Hacquebord, Trend Micro

A segunda operação, do Earth Dahu, adota uma corrente HTA-para-VBScript: o RAR malicioso entrega o GammaPhish (HTA), que baixa o downloader GammaLoad — descrito pela Sekoia como “uma coleção de VBScripts que garante acesso contínuo e implanta payloads ao longo do tempo via Dead Drop Resolvers”. O GammaLoad finaliza a infecção com o GammaSteel, infostealer capaz de monitorar mudanças de arquivos em tempo real. Segundo a Trend Micro, timestamps internos dos RARs e padrões de nomeação indicam que essa cadeia seguiu ativa até pelo menos 10 de abril de 2026.

Quem está em risco

• Estações Windows com qualquer versão do WinRAR anterior à 7.13, incluindo instalações pessoais e licenciamentos corporativos não centralmente gerenciados.
• Organizações ucranianas em alvo direto, com destaque para governo, defesa e empresas de logística operando próximo à linha de frente.
• Parceiros internacionais que trocam arquivos com entidades ucranianas — o vetor é por e-mail/anexo e pode atingir cadeias de suprimento humanitárias e de defesa fora do país.
• Ambientes onde a política de “abrir RAR” delega ao usuário final a decisão sobre arquivos comprimidos — caso típico de pequenas empresas e ONGs sem EDR.

Análise

O CVE-2025-8088 é o exemplo mais recente de um padrão que se repete há anos: vulnerabilidades em utilitários de “alta penetração no desktop” (WinRAR, 7-Zip, leitores de PDF, codecs) sobrevivem como vetores de espionagem muito além do esperado porque não há um mecanismo de atualização automática que force o pulo de versão. WinRAR não tem auto-update do tipo “Chrome forçando” — a versão patcheada existe, mas precisa ser instalada manualmente. Em ambientes corporativos sem inventário de software ou política de atualização imposta via GPO/Intune, isso significa uma janela de exploração que se estende por anos.

Há também um movimento estratégico mais amplo: tanto o Gamaredon (atribuído ao FSB russo pela SBU ucraniana) quanto o SHADOW-EARTH-066 abandonaram canais de exfiltração públicos em favor de C2 dedicado. É o reflexo direto do bloqueio do Telegram pela Rússia em fevereiro de 2026, que paradoxalmente tornou os ataques russos mais difíceis de detectar — o tráfego para api.telegram.org era um forte indicador. Agora, sem essa assinatura óbvia, defensores precisam apostar em análise comportamental e telemetria de processo, não em listas de domínio.

Para o Brasil, a leitura é clara: empresas e órgãos públicos que mantêm WinRAR como utilitário “instale e esqueça” estão expostos ao mesmo vetor. A CVE-2025-8088 não exige interação além de abrir um arquivo, e o uso de ADS é genérico — qualquer grupo que queira persistência silenciosa em Windows pode replicar a técnica. A janela entre patch e adoção é o ativo mais valioso do atacante.

Recomendações práticas

• Atualize o WinRAR para 7.13 ou superior em todas as estações via mecanismo de distribuição corporativa (GPO, Intune, SCCM, Workspace ONE). Não confie em atualização manual.
• Inventarie a base instalada: scripts simples de PowerShell ou ferramentas como Lansweeper, Tanium ou osquery resolvem em poucas horas.
• Bloqueie, no EDR, a execução de PowerShell e cmd.exe instanciados por processos descendentes do WinRAR.exe.
• Habilite registro de criação de ADS via Sysmon (Event ID 15) e monitore picos correlacionados a extrações de arquivos comprimidos.
• Considere uma política de “RAR só por sandbox” para anexos externos: encaminhe arquivos comprimidos para detonação automática antes da entrega ao usuário.
• Revise pastas Startup (%AppData%\\Microsoft\\Windows\\Start Menu\\Programs\\Startup) em busca de LNKs não autorizados — um sweep rápido pode revelar comprometimentos antigos.
• Monitore conexões de saída para domínios recém-registrados, agora que Telegram saiu do radar como C2 padrão dos grupos russos.

Fonte: The Hacker News