Vulnerabilità WinRAR CVE-2025-8088
I ricercatori di sicurezza hanno scoperto un ampio sfruttamento di una vulnerabilità critica in RARLAB WinRAR, ora risolta con patch, da parte di diversi autori di minacce. Sia avversari di stati nazionali che gruppi con motivazioni finanziarie hanno sfruttato la falla per ottenere l'accesso iniziale agli ambienti bersaglio e distribuire un'ampia gamma di payload dannosi. Nonostante la patch sia stata risolta nel luglio 2025, la vulnerabilità continua a essere sfruttata in modo improprio in diverse operazioni, evidenziando i rischi persistenti associati al software non patchato.
Sommario
CVE-2025-8088: Panoramica tecnica e impatto
La vulnerabilità, identificata come CVE-2025-8088 con un punteggio CVSS di 8,8, è stata risolta nella versione 7.13 di WinRAR, rilasciata il 30 luglio 2025. Lo sfruttamento consente l'esecuzione di codice arbitrario tramite file di archivio appositamente creati e aperti nelle versioni vulnerabili del software. La causa principale è una falla di path traversal che consente agli aggressori di rilasciare file in posizioni sensibili, in particolare nella cartella di avvio di Windows, consentendo la persistenza furtiva e l'esecuzione automatica al riavvio del sistema e all'accesso dell'utente.
Questa tecnica di sfruttamento riflette una lacuna difensiva più ampia nella sicurezza delle applicazioni di base e nella consapevolezza degli utenti finali.
Da Zero-Day a N-Day: l’evoluzione degli attacchi
La falla è stata sfruttata come zero-day già il 18 luglio 2025, in particolare dal gruppo di minacce a doppia motivazione RomCom (noto anche come CIGAR o UNC4895). Queste operazioni hanno diffuso una variante del malware SnipBot (NESTPACKER). I ricercatori associano inoltre l'attività correlata al cluster tracciato come UNC2596, che è stato collegato alle distribuzioni del ransomware Cuba.
Dopo la divulgazione pubblica e l'applicazione delle patch, la vulnerabilità si è rapidamente trasformata in un'applicazione ampiamente sfruttata, con gli aggressori che hanno incorporato file dannosi, spesso payload di collegamenti Windows (LNK) nascosti in flussi di dati alternativi (ADS), all'interno di contenuti esca. Una volta estratti, questi file vengono inseriti in percorsi di sistema predeterminati e attivati automaticamente dopo un riavvio.
Le operazioni degli Stati nazionali espandono lo sfruttamento
Diversi gruppi terroristici legati al governo hanno incorporato CVE-2025-8088 nelle loro campagne attive. In particolare, gli attori filo-russi hanno utilizzato esche e carichi secondari su misura per promuovere sia obiettivi di spionaggio che di disturbo:
- Sandworm (noto anche come APT44 o FROZENBARENTS) ha distribuito archivi contenenti file esca a tema ucraino insieme a payload LNK dannosi progettati per recuperare componenti aggiuntivi.
- Gamaredon (noto anche come CARPATHIAN) ha preso di mira le entità governative ucraine utilizzando, come prima fase, archivi RAR che fornivano downloader di applicazioni HTML (HTA).
- Turla (noto anche come SUMMIT) ha sfruttato la falla per distribuire il malware STOCKSTAY, utilizzando temi di ingegneria sociale legati alle attività militari ucraine e legate ai droni.
Parallelamente, un autore di minacce con sede in Cina ha sfruttato la stessa vulnerabilità per installare Poison Ivy, distribuito tramite uno script batch inserito nella cartella di avvio di Windows e configurato per recuperare un dropper secondario.
Campagne motivate finanziariamente e targeting commerciale
I gruppi di criminali informatici hanno rapidamente sfruttato la vulnerabilità per distribuire trojan di accesso remoto (RAT) e ladri di informazioni di uso comune contro vittime commerciali. Tra i payload osservati figurano backdoor controllate da bot di Telegram, nonché famiglie di malware come AsyncRAT e XWorm.
In una campagna degna di nota, un gruppo di criminali informatici noto per aver preso di mira gli utenti brasiliani ha distribuito un'estensione dannosa per Chrome. Questa estensione ha iniettato codice JavaScript nelle pagine di due siti web bancari brasiliani per presentare contenuti di phishing e raccogliere le credenziali degli utenti, dimostrando la flessibilità dell'accesso iniziale ottenuto tramite l'exploit WinRAR.
Mercati sotterranei e mercificazione degli exploit
Si ritiene che la rapida e ampia adozione di CVE-2025-8088 derivi da una fiorente economia di exploit sotterranei. Gli exploit WinRAR sarebbero stati pubblicizzati per migliaia di dollari, riducendo la barriera d'ingresso per un'ampia gamma di attori. Un fornitore che operava con lo pseudonimo "zeroplayer" ha commercializzato un exploit WinRAR nelle settimane precedenti la divulgazione pubblica di CVE-2025-8088.
Il ruolo continuato di Zeroplayer come fornitore upstream illustra la mercificazione del ciclo di vita degli attacchi, in cui le funzionalità di exploit chiavi in mano riducono i costi di sviluppo e consentono a gruppi con motivazioni diverse di condurre operazioni sofisticate.
Uno schema più ampio: ulteriori falle di WinRAR sotto attacco
Questa attività coincide con i tentativi di sfruttamento di un'altra vulnerabilità di WinRAR, CVE-2025-6218 (punteggio CVSS: 7,8). Sono stati osservati diversi autori di minacce, tra cui GOFFEE, Bitter e Gamaredon, che sfruttano questa falla separata, rafforzando la minaccia costante rappresentata dalle vulnerabilità n-day e la velocità con cui gli avversari sfruttano le nuove vulnerabilità scoperte.
Implicazioni strategiche per i difensori
L'abuso continuo di vulnerabilità WinRAR corrette sottolinea l'importanza di una gestione tempestiva delle patch, della formazione degli utenti e del monitoraggio di meccanismi di persistenza come i file non autorizzati nelle directory di avvio. La convergenza tra sfruttamento sponsorizzato da stati e criminalità dimostra ulteriormente la rapidità con cui le vulnerabilità critiche diventano risorse condivise nell'intero panorama delle minacce.
