WinRAR no acesso inicial do Gamaredon
O grupo de espionagem cibernética Gamaredon, vinculado ao serviço secreto russo FSB, está explorando uma vulnerabilidade crítica no WinRAR (CVE-2025-8088) para infectar sistemas ucranianos com uma cadeia de malware modular que inclui o worm GammaWorm e o exfiltrador GammaSteel. A campanha foi detalhada pela Sekoia em análise publicada em 1º de junho de 2026, revelando um ecossistema de malware onde cada componente funciona também como backdoor independente. A operação se soma a outras campanhas de grupos russos documentadas recentemente.
De acordo com a pesquisa da Sekoia, o ataque começa com spearphishing contendo arquivos XHTML que usam HTML smuggling para entregar um arquivo RAR malicioso. Esse arquivo explora a falha de path traversal CVE-2025-8088, corrigida em agosto de 2025, para extrair um componente HTA diretamente para a pasta Startup do Windows — garantindo execução automática no próximo login, sem interação adicional do usuário.
GammaWorm se esconde em fluxos NTFS
O worm GammaWorm representa uma evolução significativa nas técnicas de persistência do Gamaredon. Com mais de 20.000 linhas de código VBScript após desobfuscação, o malware utiliza Alternate Data Streams (ADS) do sistema de arquivos NTFS para se esconder — uma técnica raramente detectada por antivírus tradicionais.
O worm armazena cópias de si mesmo em caminhos como %USERPROFILE%:GTR, criando módulos separados para configuração C2 (:URL), propagação USB e rede (:LNK) e comunicação com servidores (:SERVER). A persistência é mantida via chave de registro RunOnce que executa o fluxo ADS a cada reinicialização, enquanto modificações no Registry forçam o Windows a ocultar arquivos do sistema, dificultando a inspeção manual.
A propagação ocorre por três tarefas agendadas disfarçadas com nomes legítimos do Windows — DiskDiagnosticDataCollector, SilentCleanup e SmartRetry — que executam os módulos ADS em intervalos de 7 a 10 minutos. A cadeia de comunicação C2 usa dead drop resolvers hospedados em plataformas como Graph.org e Teletype.in para ofuscar o endereço real dos servidores de comando. O CyberPress destaca que a mesma CVE-2025-8088 foi explorada por outros grupos russos como Sandworm e Turla.
Ecossistema modular da família Gamma
A Sekoia estabeleceu uma taxonomia unificada para o arsenal do Gamaredon, alinhada com o CERT-UA. Todos os componentes usam o prefixo “Gamma” e cada estágio pode operar de forma independente:
| Componente | Função | Nomes anteriores |
|---|---|---|
| GammaPhish | Acesso inicial via phishing | GammaDrop, PteroDoc |
| GammaLoad | Implantação de payloads intermediários | PowerPunch |
| GammaWorm | Propagação via USB e rede | LitterDrifter, PteroLNK |
| GammaSteel | Exfiltração de documentos | QuietSieve, HarvesterX |
A evolução histórica mostra que o Gamaredon passou de malware pronto para uso (2013-2016) para o framework Pteranodon (2016-2021) e, agora, para um ecossistema totalmente modular onde cada componente é capaz de recuperar e executar VBScript arbitrário. Nenhuma linha de código do Pteranodon original permanece.
A Infosecurity Magazine nota que a exploração de ADS do NTFS permanece subutilizada em modelos modernos de detecção de ameaças, tornando o GammaWorm particularmente difícil de identificar.
Como se proteger dos ataques
A primeira linha de defesa é atualizar o WinRAR para a versão 7.13 ou superior, que corrige a CVE-2025-8088 e elimina o vetor de entrada. Organizações que não possam atualizar imediatamente devem bloquear a execução de arquivos .rar provenientes de e-mails não solicitados.
Para detecção do GammaWorm, equipes de segurança devem monitorar a criação de fluxos ADS incomuns em perfis de usuário, especificamente arquivos como :GTR, :URL e :LNK associados a processos WScript. A verificação de chaves de registro RunOnce apontando para caminhos com dois-pontos (indicativo de ADS) é outro indicador crítico. Abordagens semelhantes de inspeção de artefatos do sistema foram discutidas em análises de campanhas de malware sofisticadas.
Tarefas agendadas com nomes como DiskDiagnosticDataCollector nas pastas \DiskDiagnostic\Microsoft\Windows\ ou SilentCleanup em \CertificateServicesClient\ devem ser auditadas — o Windows não cria tarefas nesses caminhos por padrão. Por fim, o monitoramento de conexões para domínios no Supabase.io e plataformas de publicação de conteúdo como Graph.org e Teletype.in pode identificar estágios iniciais da infecção antes que a exfiltração comece.