Dois grupos de cibercriminosos alinhados à Rússia estão explorando uma vulnerabilidade no WinRAR para atacar organizações militares e governamentais da Ucrânia. A descoberta foi publicada nesta semana pela empresa de cibersegurança Trend Micro. A falha já tinha sido corrigida em julho de 2025, mas segue sendo usada em ataques porque muitos sistemas ainda não receberam a atualização.Os grupos responsáveis pelos ataques são conhecidos como Shadow-Earth-066 e Earth Dahu. Esse último também é chamado de Gamaredon e opera desde pelo menos 2013. Ambos usam e-mails maliciosos como ponto de entrada, mas conduzem os ataques de formas diferentes depois disso.O que é o WinRAR e por que ele é um alvoO WinRAR é um programa usado para compactar e descompactar arquivos no Windows, parecido com o famoso "zip". Ele é muito popular, estima-se que centenas de milhões de pessoas ao redor do mundo o utilizem. Isso o torna um alvo atraente para criminosos, isso porque atacar um software amplamente usado aumenta muito as chances de encontrar vítimas vulneráveis.Intimação judicial falsa usada como isca pelo Shadow-Earth-066. O documento imita uma notificação do Tribunal Administrativo Regional de Dnipro acusando o destinatário de “espalhar rumores falsos”. Imagem: Trend Micro.O problema específico explorado nesses ataques tem o código CVE-2025-8088 e é classificado como uma vulnerabilidade de "path traversal". Na prática, isso significa que um arquivo RAR malicioso consegue escrever conteúdo fora da pasta onde deveria ser extraído. Os criminosos usam isso para colocar arquivos silenciosamente na pasta de inicialização do Windows, que é onde o sistema operacional executa programas automaticamente quando o usuário faz login.A vítima abre o arquivo compactado, vê apenas um documento aparentemente normal, uma notificação de tribunal, um documento do ministério da defesa, e não percebe nada de errado. Em segundo plano, o ataque já aconteceu.Como o Shadow-Earth-066 funcionaO Shadow-Earth-066 envia e-mails com temas militares ou governamentais para atrair alvos. O arquivo RAR anexado contém um PDF como isca e três arquivos ocultos. Quando a vítima abre o compactado, o WinRAR vulnerável escreve esses arquivos em locais estratégicos do sistema sem exibir nenhum aviso.WinRAR vulnerável extrai o arquivo RAR em uma pasta normal, mas os arquivos ocultos usam sequências de navegação de diretório (..) para escapar do caminho padrão e gravar conteúdo diretamente na pasta de inicialização do Windows, sem exibir nenhum aviso ao usuário. Imagem: Trend Micro.Na próxima vez que o usuário fizer login, um atalho na pasta de inicialização dispara uma sequência de comandos ocultos. O resultado final é a execução de um malware chamado GiftedCrook ou, mais precisamente, uma versão muito mais avançada dele, chamada internamente de "result.dll".Esse malware é um infostealer, um programa projetado para roubar informações. Ele extrai senhas salvas nos navegadores Chrome, Edge, Opera e Firefox, além de cookies de sessão. Cookies de sessão são dados que mantêm o usuário conectado a sites, quem os tiver pode acessar contas sem precisar de senha.Além disso, o malware varre as pastas de documentos, downloads e arquivos temporários da vítima em busca de 35 tipos de arquivo, incluindo documentos Word, planilhas Excel, PDFs, e-mails e até arquivos de configuração de VPN. Após enviar tudo para os servidores dos cibercriminosos, ele apaga todos os rastros de si mesmo do computador.O arquivo RAR malicioso deposita três componentes ocultos no sistema, um atalho na pasta de inicialização, um loader em PowerShell e o malware GiftedCrook codificado. Na sequência, o stealer coleta credenciais e documentos e os envia por HTTPS para servidores de comando e controle. Imagem: Trend Micro.A versão original do GiftedCrook, usada em 2025, era bem mais simples. Ela enviava os dados roubados diretamente para um grupo do Telegram com tokens visíveis no próprio código. A versão atual usa servidores dedicados, criptografia e técnicas para dificultar a detecção por softwares de segurança.Como o Earth Dahu ageO Earth Dahu usa uma abordagem diferente. O grupo envia e-mails de phishing a partir de contas governamentais ucranianas previamente comprometidas, o que aumenta a credibilidade da mensagem. Os assuntos imitam correspondências judiciais, como intimações e ordens de penhora.O arquivo RAR malicioso deposita um tipo de arquivo chamado HTA na pasta de inicialização do Windows. Na próxima vez que a vítima fizer login, esse arquivo é executado automaticamente pelo Windows. Ele então se conecta a servidores controlados pelos criminosos, usando a infraestrutura da Cloudflare para disfarçar o tráfego, e baixa módulos de espionagem.O e-mail de spear-phishing entrega um arquivo RAR que, ao ser aberto, deposita silenciosamente um arquivo HTA na pasta de inicialização do Windows. No próximo login, o arquivo é executado automaticamente e carrega módulos de espionagem via infraestrutura da Cloudflare. Imagem: Trend Micro.Esses módulos permitem que o grupo colete informações de forma contínua, sem precisar de uma nova intrusão. Em alguns casos, os pesquisadores identificaram também a entrega de um componente capaz de apagar dados do sistema das vítimas.Por que a falha ainda funciona quase um ano depois do patchA correção foi lançada em julho de 2025 no WinRAR versão 7.13. O problema é que o WinRAR não se atualiza automaticamente e não é gerenciado pelas ferramentas corporativas padrão de atualização de software, como o WSUS ou o SCCM. Isso significa que cada instalação precisa ser atualizada manualmente.Em ambientes com centenas ou milhares de computadores, identificar quais máquinas ainda têm versões antigas do WinRAR exige ferramentas específicas ou auditoria manual. Na prática, muitas organizações simplesmente não fazem isso para softwares considerados "secundários".E-mail enviado em outubro de 2025 a partir de uma conta governamental ucraniana comprometida. A mensagem imita uma intimação judicial e inclui um arquivo RAR malicioso como anexo, o vetor de entrada usado pelo Earth Dahu para explorar a falha CVE-2025-8088 no WinRAR. Imagem: Trend Micro.Além do Shadow-Earth-066 e do Earth Dahu, outros grupos russos como Sandworm, Turla e Void Rabisu também foram identificados explorando a mesma falha. Até abril de 2026, os dois grupos analisados pela Trend Micro ainda geravam novas amostras de ataque.O que fazer para se protegerA recomendação principal é atualizar o WinRAR para a versão 7.13 ou superior, que corrige a vulnerabilidade. Para organizações, a Trend Micro recomenda usar ferramentas de descoberta de ativos para identificar onde o programa está instalado na rede.Outra medida eficaz é configurar alertas para qualquer alteração na pasta de inicialização do Windows, esse é o caminho usado pelos dois grupos para garantir que o malware seja executado automaticamente. Filtrar ou inspecionar arquivos compactados recebidos por e-mail também ajuda a bloquear as cadeias de ataque antes que cheguem ao usuário final.Acompanhe o TecMundo nas redes sociais. Inscreva-se em nossa newsletter e canal do YouTube.