Grupos patrocinados por governos da Rússia e da China, além de criminosos financeiros, continuam explorando ativamente o CVE-2025-8088, uma vulnerabilidade crítica de path traversal no WinRAR descoberta e corrigida em julho de 2025. A falha permite a execução arbitrária de código ao abrir arquivos RAR maliciosos e foi usada em campanhas contra alvos militares, governamentais e comerciais pelo menos até janeiro de 2026, segundo o Google Threat Intelligence Group.

Como a vulnerabilidade funciona

O CVE-2025-8088 recebeu pontuação CVSS 8.4 e afeta o WinRAR versão 7.12 e anteriores no Windows. A falha reside no mecanismo de extração de arquivos e é explorada por meio de Alternate Data Streams (ADS) do sistema de arquivos NTFS.

O atacante cria um arquivo RAR que parece conter um único documento inofensivo — como um currículo em PDF. Dentro desse arquivo, porém, existem múltiplas entradas ADS ocultas que o usuário não consegue visualizar na interface do WinRAR. Ao abrir o arquivo, o WinRAR extrai tanto o conteúdo visível quanto os ADS ocultos.

Um dos ADS contém um payload malicioso combinado com um caminho de traversal que direciona a extração para a pasta de inicialização do Windows (Startup). O resultado: um arquivo .lnk ou .cmd é depositado em %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\ e executa automaticamente no próximo login do usuário, sem que ele perceba, conforme detalhou o Google Threat Intelligence Group em relatório publicado em janeiro de 2026.

Grupos estatais na exploração

O Google TI Group identificou múltiplos atores governamentais explorando a falha de forma independente. Do lado russo, destacam-se quatro grupos:

O UNC4895 (também conhecido como RomCom), grupo com motivação dupla — financeira e de espionagem — usou a falha contra unidades militares ucranianas por meio de e-mails de spearphishing com iscas geopolíticas. O payload final pertence à família NESTPACKER (conhecida como SnipBot), segundo análise da ESET divulgada em agosto de 2025.

O APT44 (FROZENBARENTS), grupo russo de APT, também adotou o CVE-2025-8088 para depositar arquivos LNK maliciosos que baixam cargas adicionais. O TEMP.Armageddon (CARPATHIAN) direcionou campanhas contra entidades governamentais ucranianas, usando HTAs como downloaders de segundo estágio. Essa atividade continuou até janeiro de 2026.

O Turla (SUMMIT), um dos grupos mais sofisticados ligados à Rússia, empregou a falha para distribuir a suíte de malware STOCKSTAY, com iscas temáticas sobre operações militares e drones na Ucrânia.

Do lado chinês, um ator vinculado à República Popular da China foi identificado explorando a vulnerabilidade para entregar o malware POISONIVY por meio de um arquivo BAT depositado na pasta Startup, segundo o relatório do Google.

Criminosos adotam a falha rapidamente

Atuadores financeiros não ficaram atrás. Um grupo que atacou empresas na Indonésia usou a vulnerabilidade para depositar um script .cmd na pasta Startup, que baixava um arquivo RAR protegido por senha do Dropbox contendo um backdoor com comunicação via bot do Telegram. Outro grupo, voltado ao setor de hotelaria e turismo na América Latina, distribuiu RATs comerciais como XWorm e AsyncRAT por meio de e-mails temáticos de reservas de hotel.

Um terceiro grupo direcionou ataques contra usuários de bancos brasileiros, entregando uma extensão maliciosa do Chrome que injeta JavaScript nas páginas de dois bancos para exibir conteúdo de phishing e roubar credenciais. Essa atividade foi observada entre dezembro de 2025 e janeiro de 2026.

Atores e payloads identificados

Grupo / Ator Afiliação Alvos Payload
UNC4895 (RomCom) Rússia Militar (Ucrânia), Europa, Canadá SnipBot / RustyClaw
APT44 (FROZENBARENTS) Rússia Governo (Ucrânia) Downloads via LNK
TEMP.Armageddon Rússia Governo (Ucrânia) HTA downloader
Turla (SUMMIT) Rússia Militar (Ucrânia) STOCKSTAY
PRC-based actor China Não especificado POISONIVY
Cybercrime (Indonésia) Financeiro Empresas (Indonésia) Backdoor via Telegram
Cybercrime (LATAM) Financeiro Hotelaria e turismo XWorm / AsyncRAT
Cybercrime (Brasil) Financeiro Usuários de bancos Extensão Chrome maliciosa

Linha do tempo da exploração

  1. Julho de 2025 — O ator underground “zeroplayer” anuncia a venda do exploit na dark web por US$ 80 mil.
  2. 18 de julho de 2025 — Primeiras explorações detectadas em campanhas do RomCom contra alvos na Europa e no Canadá.
  3. 21 de julho de 2025 — ESET documenta ataques do Paper Werewolf contra organizações russas usando o mesmo exploit.
  4. 30 de julho de 2025 — RARLAB lança o WinRAR 7.13 com correção para o CVE-2025-8088 e para o CVE-2025-6218.
  5. Agosto de 2025 — CISA adiciona a falha ao catálogo de vulnerabilidades exploradas (KEV).
  6. Dez. 2025 – jan. 2026 — Novas campanhas criminosas detectadas, incluindo ataques a bancos e distribuição de stealers.
  7. 27 de janeiro de 2026 — Google TI Group publica relatório detalhando a escala global da exploração.

O que fazer agora

A medida defensiva principal é atualizar o WinRAR para a versão 7.13 ou superior, que contém a correção. O download está disponível no site oficial da RARLAB (win-rar.com). Mais de 500 milhões de usuários do WinRAR estão potencialmente expostos se não atualizaram o software.

Equipes de segurança devem verificar se há arquivos suspeitos na pasta de inicialização dos endpoints, monitorar eventos de criação de arquivos .lnk, .cmd e .bat em diretórios sensíveis, e implementar detecções baseadas nos indicadores de comprometimento publicados pela ESET, BI.ZONE e Google TI Group. O Google Safe Browsing e o Gmail identificam e bloqueiam arquivos contendo o exploit.

A exploração prolongada do CVE-2025-8088 — mais de seis meses após o patch — evidencia um problema estrutural: a lentidão na adoção de atualizações de software transforma vulnerabilidades corrigidas em armas persistentes nas mãos de atores diversos.

Fontes