Exploração persiste quase um ano após correção
Duas campanhas de ciberataques alinhadas à Rússia continuam explorando uma falha de segurança no WinRAR para atingir organizações ucranianas, quase um ano após a divulgação das correções para a vulnerabilidade.
A atividade foi atribuída pela Trend Micro aos grupos Earth Dahu (também conhecido como Gamaredon) e SHADOW-EARTH-066 (também conhecido como UAC-0226). Envolve a exploração da CVE-2025-8088, uma falha de path traversal que permite que um invasor grave arquivos fora do diretório de extração por meio de NTFS Alternate Data Streams (ADS). A vulnerabilidade foi corrigida pelo WinRAR em julho de 2025.
As descobertas mostram "como softwares não gerenciados mantêm um ponto de entrada explorável aberto muito tempo depois do lançamento da correção", disseram os pesquisadores da Trend Micro Hiroyuki Kakara e Feike Hacquebord em uma análise publicada na segunda-feira.
Cadeia de ataque com GIFTEDCROOK
A cadeia de exploração do WinRAR utilizada pelo SHADOW-EARTH-066 representa um afastamento dos droppers de macros do Excel usados anteriormente pelo agente de ameaça para distribuir um stealer de informações chamado GIFTEDCROOK. A versão mais recente utiliza arquivos RAR elaborados, com um documento PDF como isca e três payloads ocultos em ADS fora do diretório de extração para iniciar a infecção.
Isso inclui um arquivo Windows Shortcut (LNK) colocado na pasta Inicializar, para que seja executado automaticamente toda vez que o usuário fizer login. Esse arquivo, por sua vez, aciona um carregador PowerShell via "cmd.exe", que utiliza carregamento de DLL em memória para, ao final, executar uma versão atualizada do GIFTEDCROOK ("result.dll").
O malware tem como alvo senhas e cookies de navegadores baseados em Chromium (Google Chrome, Microsoft Edge e Opera) e Mozilla Firefox, além de coletar documentos com determinadas extensões da máquina da vítima. Após a exfiltração dos dados para um servidor externo, todos os artefatos maliciosos são apagados para encobrir o rastro forense.
Uma mudança notável é a substituição do Telegram como canal de exfiltração por servidores dedicados de comando e controle (C2), alteração que provavelmente está alinhada ao bloqueio da plataforma de mensageria na Rússia em fevereiro deste ano.
Earth Dahu utiliza a falha para espionagem
O segundo grupo de hackers afiliado à Rússia a explorar a CVE-2025-8088 é o Earth Dahu, que incorporou a falha ao seu arsenal pelo menos desde setembro de 2025. O adversário é conhecido por seu "esforço em escala industrial" para manter acesso de longo prazo a organizações comprometidas.
"O Earth Dahu utilizou a vulnerabilidade com uma cadeia de infecção HTA-para-VBScript que entregava módulos de espionagem", destacou a Trend Micro. "Com base nos timestamps internos e nas convenções de nomenclatura dos arquivos RAR, a cadeia permaneceu ativa pelo menos até 10 de abril de 2026."
GammaPhish, GammaLoad e GammaSteel
Esses ataques, conforme também documentado recentemente pela Sekoia na semana passada, resultam na implantação do GammaPhish, um HTML Application (HTA), que é então usado para obter um downloader VBScript chamado GammaLoad. O downloader intermediário, em seguida, entrega módulos adicionais como o GammaSteel.
O GammaLoad é "uma coleção de VBScripts projetada para garantir acesso contínuo e implantar payloads ao longo do tempo, aproveitando Dead Drop Resolvers (DDR)", afirmou a Sekoia, acrescentando que é usado para implantar um dropper desenvolvido para executar um carregador VBScript responsável por acionar o GammaSteel, um stealer de informações abrangente capaz de monitorar alterações em arquivos em tempo real.
WinRAR como alvo estratégico
"O WinRAR está profundamente integrado às operações cotidianas em organizações ucranianas, tornando-se um alvo atraente para exploração", afirmou a Trend Micro. "A convergência de grupos estatais consolidados e clusters rastreados de forma independente sobre uma única vulnerabilidade reflete a escala das ameaças cibernéticas que a Ucrânia enfrenta."
