Uderzyli WinRAR-em w Ukrainę. Stara luka pozwala wykradać poufne dane

Badacze alarmują, że dwie rosyjskie grupy powiązane z państwem wykorzystują starą i załataną już lukę w WinRAR-ze, do przeprowadzania ataków na ukraińskie instytucje rządowe, wojskowe i organy ścigania. Problem nie polega jednak na samym błędzie. Największym wyzwaniem okazuje się fakt, że tysiące komputerów nadal korzystają z nieaktualnych wersji popularnego programu do archiwizacji plików.

Eksperci z Trend Micro ujawnili, że dwie rosyjskie grupy APT aktywnie wykorzystują podatność oznaczoną jako CVE-2025-8088. To błąd typu path traversal, który pozwala ukryć złośliwe pliki w archiwach RAR w taki sposób, aby wyglądały na nieszkodliwe. Podatność została naprawiona w WinRAR 7.13 już 30 lipca 2025 roku. Mimo to wiele organizacji nadal nie wdrożyło aktualizacji. Dla cyberprzestępców stało się to idealną okazją do prowadzenia kolejnych kampanii szpiegowskich.

Według badaczy luka była wykorzystywana jeszcze przed opublikowaniem poprawki. Dziś, niemal rok później, nadal pozostaje skutecznym narzędziem ataku.

Gamaredon wraca z kolejną kampanią

Jedną z grup korzystających z podatności jest Gamaredon, od lat łączona z rosyjską Federalną Służbą Bezpieczeństwa. Zespół bezpieczeństwa Trend Micro śledzi tę organizację pod nazwą Earth Dahu. Atak rozpoczyna się od wiadomości phishingowej zawierającej spreparowane archiwum RAR. Po jego otwarciu uruchamiany jest wieloetapowy łańcuch infekcji prowadzący do instalacji kilku kolejnych komponentów.

Najpierw na komputer trafia loader VBScript znany jako GammaPhish. Następnie pobierany jest backdoor GammaLoad, który odpowiada za utrzymanie dostępu do systemu. Ostatnim etapem jest uruchomienie narzędzia GammaSteel, wykorzystywanego do kradzieży dokumentów, wykonywania zrzutów ekranu oraz przesyłania danych do operatorów. To jeden z najbardziej rozbudowanych zestawów narzędzi wykorzystywanych przez rosyjskie grupy szpiegowskie do przeprowadzania akcji na Ukrainie.

Eksperci ostrzegają, że organizacje korzystające z WinRAR-a w wersji 7.12 lub starszej powinny jak najszybciej przeprowadzić aktualizację. W przeciwnym razie nawet zwykłe archiwum przesłane pocztą elektroniczną może stać się początkiem poważnego incydentu bezpieczeństwa.

Druga grupa postawiła na kradzież haseł

Drugim uczestnikiem kampanii jest SHADOW-EARTH-066, znana również jako UAC-0226. Co ciekawe, grupa niezależnie od Gamaredona wybrała dokładnie tę samą lukę w WinRAR-ze jako główny wektor ataku. Wcześniej wykorzystywała złośliwe makra w dokumentach Excela, jednak po wprowadzeniu przez Microsoft kolejnych zabezpieczeń przestępcy zmienili taktykę. 

Po udanej infekcji na komputerze instalowane jest narzędzie GIFTEDCROOK. Program specjalizuje się w kradzieży zapisanych haseł, plików cookie oraz danych sesyjnych z przeglądarek Chrome, Edge, Opera i Firefox. Atakujący mogą również przejmować dokumenty znajdujące się na zainfekowanych urządzeniach.

Dwie grupy, jedna luka

Analitycy zwracają uwagę na wyjątkowo interesujący aspekt całej operacji. Gamaredon i SHADOW-EARTH-066 korzystają z różnych zestawów narzędzi, realizują odmienne cele wywiadowcze i działają niezależnie od siebie. Mimo to obie organizacje uznały CVE-2025-8088 za najskuteczniejszy sposób dotarcia do ukraińskich celów.

Tego typu zbieżność nie zdarza się często. Pokazuje ona, jak atrakcyjna dla cyberprzestępców pozostaje luka, nawet wiele miesięcy po wydaniu oficjalnej poprawki.

Rosja zmieniła sposób przesyłania skradzionych danych

Badacze zauważyli również istotną zmianę w metodach działania Gamaredona. Przez lata grupa wykorzystywała Telegram jako kanał komunikacji oraz przesyłania wykradzionych informacji. Od początku 2026 roku obserwowany jest jednak stopniowy powrót do klasycznej infrastruktury serwerów dowodzenia i kontroli. Zmiana zbiegła się w czasie z decyzją rosyjskich władz o ograniczeniu ruchu w Telegramie. Utrudnienia sprawiły, że platforma przestała być równie wygodnym narzędziem dla operatorów cyberataków.

Dla służb bezpieczeństwa oznacza to kolejne utrudnienie. Śledzenie dedykowanych serwerów C2 jest zwykle bardziej skomplikowane niż monitorowanie aktywności w popularnych komunikatorach.

Największy problem to brak aktualizacji

Historia CVE-2025-8088 pokazuje problem, z którym branża bezpieczeństwa zmaga się od lat. Samo opublikowanie poprawki nie rozwiązuje zagrożenia.

W wielu organizacjach aktualizacje wdrażane są z opóźnieniem liczonym w miesiącach. W przypadku środowisk funkcjonujących w warunkach wojennych sytuacja staje się jeszcze trudniejsza. Priorytetem pozostaje ciągłość działania, a nie zawsze bieżąca konserwacja oprogramowania.

Cyberprzestępcy doskonale zdają sobie z tego sprawę. Właśnie dlatego nadal inwestują czas i zasoby w rozwijanie exploitów dla podatności, które oficjalnie zostały już naprawione.