Resumo da ameaça
APTs russas continuam explorando ativamente a vulnerabilidade CVE-2025-8088 no WinRAR, uma falha de path traversal corrigida em julho de 2025. Pesquisadores da Trend Micro revelaram que os grupos Earth Dahu (Gamaredon) e SHADOW-EARTH-066 mantêm campanhas em andamento, criando novas amostras de exploit quase um ano depois do patch disponível.
Como funciona o ataque
A CVE-2025-8088 é uma falha de path traversal com escore CVSS 8.4 que explora NTFS Alternate Data Streams no Windows. O vetor de ataque começa com um e-mail de spear-phishing contendo um arquivo RAR malicioso. Quando a vítima abre o arquivo, vê apenas um documento isca — algo como uma intimação judicial ou registro militar. Em segundo plano, sem nenhuma interação adicional, o WinRAR grava arquivos ocultos fora do diretório de extração, incluindo a pasta de inicialização do Windows. No próximo login, esses arquivos são executados automaticamente.
O grupo SHADOW-EARTH-066 evoluiu significativamente desde 2025. A campanha mais recente, com amostras datadas de abril de 2026, deposita três arquivos via path traversal: um atalho LNK na pasta de inicialização, um loader PowerShell ofuscado em C:\ProgramData\ e uma carga DLL codificada em SUB no mesmo diretório. O loader utiliza chamadas de sistema NT diretas para carregar a DLL final inteiramente na memória, sem escrever a carga decodificada no disco, tornando a detecção baseada em arquivos ineficaz.
| Grupo APT | Alias | Vetor de entrada | Técnica de persistência |
|---|---|---|---|
| Earth Dahu | Gamaredon, TEMP.Armageddon | Spear-phishing com RAR | LNK na pasta Startup |
| SHADOW-EARTH-066 | UAC-0226 | Spear-phishing com RAR | LNK + PowerShell + DLL em memória |
| Sandworm | APT44, FROZENBARENTS | Arquivo RAR com isca ucraniana | LNK com downloader |
Por que WinRAR permanece alvo
O WinRAR é amplamente utilizado em organizações governamentais e empresariais. A correção existe desde a versão 7.13, mas a adoção do patch é lenta. Muitas instalações continuam rodando versões vulneráveis, criando uma janela de oportunidade que os grupos APT exploram de forma sistemática. A Trend Micro confirmou que todas as amostras analisadas exploram essa mesma vulnerabilidade, indicando que a falha se tornou um método padrão de entrada para esses grupos.
O que fazer agora
- Atualizar o WinRAR imediatamente para a versão 7.13 ou superior em todas as estações da rede
- Bloquear execuções da pasta Startup via política de grupo ou solução EDR
- Monitorar chamadas NT diretas (direct syscalls) em processos PowerShell, sinal de evasão de detecção
- Reforçar filtros de e-mail para bloquear arquivos RAR de remetentes não confiáveis
- Auditar NTFS Alternate Data Streams em diretórios sensíveis como ProgramData e Startup
Fontes
- Security Affairs — Russian APTs Still Exploiting Patched WinRAR Flaw
- Google Cloud — Exploiting Critical WinRAR Vulnerability CVE-2025-8088
- Help Net Security — WinRAR vulnerability still a go-to tool for hackers
- Ciberseguranca.org — Grupos estatais exploram falha crítica do WinRAR
- Ciberseguranca.org — Gamaredon explora falha do WinRAR
O que observar agora
Para equipes de seguranca, o ponto principal em “APTs russas exploram falha do WinRAR um ano após patch” e transformar o alerta em verificacao objetiva. Antes de assumir impacto, vale confirmar ativos expostos, versoes em uso, logs recentes e dependencias que possam ampliar o risco. Esse processo reduz ruido, evita pânico e ajuda a priorizar o que realmente precisa de resposta imediata.
Tambem e importante registrar evidencias. Guarde indicadores, horarios, sistemas afetados e decisoes tomadas durante a triagem. Mesmo quando o caso nao evolui para incidente, essa disciplina melhora a resposta futura e facilita explicar para lideranca por que uma acao foi tomada, adiada ou descartada.
Como medida pratica, revise backups, monitore autenticacoes incomuns, limite privilegios administrativos e confirme se alertas criticos chegam a alguem com autoridade para agir. A seguranca melhora quando noticias viram checklist operacional, nao apenas leitura passiva.
Para acompanhar “APTs russas exploram falha do WinRAR um ano após patch” com rigor, a recomendacao e voltar ao tema quando houver novos indicadores confirmados, patches publicados ou exploracao ativa validada por fontes confiaveis. Ate la, a melhor postura e revisar superficie exposta, reduzir privilegios desnecessarios e manter telemetria suficiente para investigar sinais fracos antes que se tornem incidentes.
Para acompanhar “APTs russas exploram falha do WinRAR um ano após patch” com rigor, a recomendacao e voltar ao tema quando houver novos indicadores confirmados, patches publicados ou exploracao ativa validada por fontes confiaveis. Ate la, a melhor postura e revisar superficie exposta, reduzir privilegios desnecessarios e manter telemetria suficiente para investigar sinais fracos antes que se tornem incidentes.
Para acompanhar “APTs russas exploram falha do WinRAR um ano após patch” com rigor, a recomendacao e voltar ao tema quando houver novos indicadores confirmados, patches publicados ou exploracao ativa validada por fontes confiaveis. Ate la, a melhor postura e revisar superficie exposta, reduzir privilegios desnecessarios e manter telemetria suficiente para investigar sinais fracos antes que se tornem incidentes.