Scoperta una vulnerabilità zero-day in WinRAR, sfruttata dal gruppo filorusso RomCom. Il difetto, già corretto, permetteva di manipolare i percorsi negli archivi per eseguire codice malevolo. Gli attacchi miravano a installare backdoor come varianti di SnipBot, RustyClaw e l’agent Mythic. È consigliato aggiornare il software
Researchers of ESET, leader europeo globale nel mercato della cybersecurity, hanno scoperto una vulnerabilità sconosciuta in WinRAR, sfruttata in attacchi reali dal gruppo filorusso RomCom. Secondo la telemetria di ESET, sono stati utilizzati degli archivi malevoli in campagne di spearphishing tra il 18 e il 21 luglio 2025, rivolte a società europee e canadesi dei settori finanziario, manifatturiero, della difesa e della logistica. Obiettivo delle operazioni era il cyberspionaggio. È almeno la terza volta che RomCom viene individuato mentre sfrutta una vulnerabilità zero-day di rilievo.
“Il 18 luglio abbiamo osservato una DLL malevola denominata msedge.dll in un archivio RAR con percorsi insoliti che hanno attirato la nostra attenzione. Dall’analisi è emerso che gli attaccanti stavano sfruttando una vulnerabilità sconosciuta che interessava WinRAR, compresa la versione allora in uso (7.12). Il 24 luglio abbiamo informato lo sviluppatore di WinRAR e, nello stesso giorno, la vulnerabilità è stata corretta in una beta, seguita a distanza di pochi giorni da una versione definitiva. Invitiamo tutti gli utenti a installare l’ultima release per ridurre i rischi”, spiega Peter Strýček, ricercatore ESET che ha fatto la scoperta insieme al collega Anton Cherepanov. La vulnerabilità, CVE-2025-8088, è un path traversal reso possibile attraverso l’uso di alternate data streams (ADS).
Gli archivi malevoli, mascherati da documenti di candidatura, sfruttavano il flusso di path traversal per compromettere i sistemi. Nelle email di spearphishing gli attaccanti allegavano un presunto CV, facendo leva sulla curiosità del destinatario. Dai dati raccolti da ESET non emergono compromissioni effettivamente riuscite tra i bersagli osservati, sebbene gli aggressori avessero condotto attività di ricognizione preventiva e i messaggi fossero fortemente mirati. L’analisi tecnica, tuttavia, ha confermato che l’exploit, una volta andato a segno, avrebbe potuto distribuire diverse backdoor utilizzate dal gruppo RomCom – in particolare una variante di SnipBot, RustyClaw e l’agent Mythic.
ESET Research attribuisce con ragionevole certezza le attività osservate a RomCom, sulla base dell’area geografica presa di mira, delle tecniche utilizzate e dei malware impiegati. RomCom (conosciuto anche come Storm-0978, Tropical Scorpius o UNC2596) è un gruppo filorusso che conduce sia campagne opportunistiche rivolte a specifici settori sia operazioni mirate di spionaggio. Negli ultimi anni il gruppo ha ampliato il proprio raggio d’azione includendo anche la raccolta di informazioni a fini di intelligence, in parallelo ad attività più tipicamente criminali. La backdoor impiegata è in grado di eseguire comandi e scaricare moduli aggiuntivi sul computer infetto. Non è la prima volta che RomCom utilizza exploit per compromettere le proprie vittime: nel giugno 2023 il gruppo aveva condotto una campagna di spearphishing contro enti governativi e della difesa in Europa, utilizzando come esca documenti legati al Congresso Mondiale Ucraino.
“Sfruttando una vulnerabilità zero-day sconosciuta in WinRAR, il gruppo RomCom ha dimostrato di investire risorse ed energie considerevoli nelle proprie operazioni. La campagna ha preso di mira settori che corrispondono agli interessi tipici dei gruppi APT filorussi, suggerendo una motivazione geopolitica dietro l’operazione”, conclude Strýček.
Per un’analisi dettagliata e un approfondimento tecnico sulla più recente campagna di RomCom, è disponibile l’articolo “Update WinRAR tools now: RomCom and others exploiting zero-day vulnerability” sul blog WeLiveSecurity.com. Gli aggiornamenti di ESET Research possono essere seguiti anche su Twitter (oggi X), BlueSky e Mastodon.
