WinRAR: hacker russi sfruttano vecchia vulnerabilità per rubare dati

Una vulnerabilità corretta mesi fa continua a rappresentare una minaccia concreta per milioni di sistemi Windows.

I ricercatori di Google Threat Intelligence Group hanno rilevato una campagna di sfruttamento su larga scala che prende di mira installazioni obsolete di WinRAR, uno dei software di compressione più diffusi al mondo. L’attività coinvolge gruppi legati alla Russia, operatori collegati alla Cina e organizzazioni criminali motivate da interessi economici.

Il caso evidenzia una realtà ben nota nel settore della sicurezza informatica: anche dopo la pubblicazione di una patch, una vulnerabilità può restare efficace per molto tempo se gli utenti non aggiornano i propri sistemi.

Come funziona l’attacco e chi lo sta usando

Al centro degli attacchi c’è CVE-2025-8088, una falla ad alta gravità che interessa le versioni Windows di WinRAR precedenti alla 7.13. La vulnerabilità sfrutta i cosiddetti Alternate Data Streams (ADS), una caratteristica del file system NTFS che permette di associare flussi di dati aggiuntivi a un file. Gli aggressori inseriscono codice malevolo all’interno di archivi apparentemente innocui, spesso accompagnati da documenti esca come PDF, curriculum o comunicazioni amministrative.

Quando la vittima apre l’archivio con una versione vulnerabile di WinRAR, il software viene indotto a salvare il payload nella directory Startup di Windows. Al successivo accesso dell’utente, il malware viene eseguito automaticamente, garantendo persistenza e controllo del sistema compromesso. La tecnica è classificata come attacco path traversal: l’archivio scrive file in posizioni diverse da quelle scelte dall’utente durante l’estrazione.

RARLAB ha corretto il problema con WinRAR 7.13, rilasciato a fine luglio 2025. Nonostante la patch sia disponibile da molti mesi, Google ha osservato un utilizzo esteso della vulnerabilità in campagne ancora attive. Secondo le analisi condivise, gruppi riconducibili alla Russia hanno impiegato CVE-2025-8088 in operazioni rivolte soprattutto contro obiettivi governativi e militari ucraini.

Tra gli attori osservati compare RomCom, già noto per attività di cyberspionaggio e campagne mirate contro organizzazioni occidentali. Le campagne hanno distribuito strumenti di accesso remoto, malware per il furto di dati e componenti per mantenere una presenza permanente nei sistemi compromessi.

L’attività non riguarda esclusivamente operazioni sponsorizzate da Stati. Google ha osservato lo sfruttamento della falla anche da parte di organizzazioni criminali interessate al furto di credenziali, alla distribuzione di ransomware e alla compromissione di reti aziendali, con campagne che hanno colpito imprese in America Latina, Indonesia e altri mercati emergenti. La disponibilità pubblica dei dettagli tecnici ha trasformato CVE-2025-8088 in una classica vulnerabilità n-day: il difetto è noto, la correzione esiste, ma molti sistemi restano esposti perché non aggiornati.

WinRAR è installato su centinaia di milioni di computer e non implementa un sistema di aggiornamento automatico completo, lasciando agli utenti la responsabilità di scaricare e installare manualmente le nuove versioni.

Questa caratteristica lo rende strutturalmente vulnerabile ai ritardi di aggiornamento. A complicare il quadro contribuisce anche la percezione diffusa che gli archivi compressi siano contenuti relativamente sicuri, il che favorisce l’apertura di allegati ricevuti via email o piattaforme di messaggistica, aumentando le probabilità di successo delle campagne di phishing.

Come proteggersi: le misure essenziali

La misura più efficace è aggiornare immediatamente WinRAR alla versione 7.13 o successiva.

Le organizzazioni dovrebbero inoltre monitorare le cartelle Startup di Windows, verificare la presenza di file sospetti e limitare l’apertura di archivi provenienti da fonti non verificate.

Strumenti di protezione endpoint e sistemi di rilevamento comportamentale possono individuare tentativi di persistenza legati a questa tecnica. Il caso CVE-2025-8088 dimostra che il vero problema, oggi, non è più la disponibilità della correzione ma la quantità di sistemi che ancora eseguono versioni obsolete del software.