Zombie ZIP: la tecnica che inganna antivirus ed EDR con semplici archivi compressi

I file compressi rappresentano uno dei vettori più comuni per la distribuzione di malware. Archivi ZIP allegati a email, condivisi tramite servizi cloud o incorporati in documenti scaricabili costituiscono da anni un metodo efficace per aggirare controlli superficiali e veicolare codice malevolo. Una nuova tecnica di evasione, denominata Zombie ZIP, dimostra quanto sia fragile il modello di analisi adottato da molte soluzioni di sicurezza quando si trovano davanti a file compressi manipolati.

La tecnica sfrutta una debolezza di antivirus ed EDR (Endpoint Protection Solution) nelle attività di analisi degli archivi ZIP, inducendo i motori di scansione a interpretare erroneamente i dati contenuti nel file.

La scoperta arriva dal ricercatore di sicurezza Chris Aziz della società Bombadil Systems. Durante i test pubblicati nel 2026, l’approccio basato su Zombie ZIP ha aggirato 50 dei 51 motori antivirus disponibili su VirusTotal. L’episodio ha attirato l’attenzione del CERT Coordination Center, che ha assegnato alla problematica l’identificativo CVE-2026-0866 e segnalato il rischio che archivi ZIP manipolati possano produrre falsi negativi durante le scansioni automatiche.

Come funziona la tecnica Zombie ZIP

Il funzionamento del sistema che permette di eludere i controlli delle soluzioni di sicurezza, si basa su una manipolazione dei metadati interni dell’archivio.

Un file ZIP contiene diversi header (intestazioni) che descrivono il contenuto dell’archivio, tra cui dimensione dei file, checksum e metodo di compressione utilizzato. Tra questi campi compare il cosiddetto ZIP Method field, che indica al software di decompressione quale algoritmo usare per estrarre i dati.

Nella maggior parte dei casi gli archivi moderni utilizzano l’algoritmo DEFLATE, uno schema di compressione senza perdita adottato da decenni nello standard ZIP. Tuttavia l’header del file può dichiarare un metodo differente. La tecnica Zombie ZIP imposta deliberatamente il valore del metodo su 0, cioè STORED, che indica l’assenza di compressione.

Molti motori antivirus si fidano di questo campo e interpretano il contenuto dell’archivio come se fosse composto da dati non compressi. Il risultato è un errore logico: lo scanner analizza byte che in realtà sono dati compressi. In questa forma il payload appare come rumore binario e non corrisponde a nessuna firma malware conosciuta.

Perché antivirus ed EDR falliscono nell’analisi

Il problema nasce dal modo in cui i motori di sicurezza trattano gli archivi durante la fase di analisi. Per esaminare il contenuto di un file ZIP, il motore di scansione deve prima estrarre o ricostruire il file originale. L’operazione dipende dalle informazioni presenti nei dati di intestazione dell’archivio.

Quando lo scanner legge un archivio Zombie ZIP trova un metodo di compressione dichiarato come STORED. Il motore evita la decompressione e analizza direttamente il flusso di dati: poiché quei byte rappresentano invece dati compressi con DEFLATE, il risultato dell’analisi non contiene codice eseguibile riconoscibile.

Questa condizione produce un classico caso di falso negativo: il file malevolo contenuto nell’archivio compresso supera il controllo senza generare allarmi.

Il problema, come conferma Aziz, riguarda sia motori antivirus tradizionali sia alcune piattaforme di EDR che delegano l’analisi iniziale agli stessi parser di archivio.

Il ruolo dei loader personalizzati

L’archivio Zombie ZIP, contenente l’intestazione STORED, non può però essere aperto normalmente con strumenti diffusi come WinRAR, 7-Zip o unzip. Quando un utente tenta di estrarre i dati, il software segnala errori o dati corrotti. Il motivo risiede nella manipolazione del campo CRC32, utilizzato per verificare l’integrità dei file.

Un attaccante può però utilizzare un programma dedicato che ignora i metadati dell’archivio e applica direttamente l’algoritmo DEFLATE ai dati contenuti. In questo modo il payload nascosto viene recuperato correttamente e può essere eseguito o caricato in memoria.

Il CERT Coordination Center ha evidenziato una somiglianza con un vecchio problema documentato nel 2004 e identificato come CVE-2004-0935. Anche in quel caso la manipolazione dei metadati degli archivi permetteva di aggirare alcune soluzioni antivirus dell’epoca.

L’analogia dimostra che l’analisi dei file compressi continua a rappresentare un punto debole nei sistemi di sicurezza. I parser di archivi devono gestire strutture complesse, versioni diverse dello standard e numerosi metodi di compressione. Una singola incoerenza tra metadati e contenuto reale può compromettere l’intero processo di scansione.

Strategie di mitigazione e miglioramenti possibili

Le raccomandazioni del CERT si concentrano sulla necessità di verificare la coerenza tra metadati e contenuto reale degli archivi. I motori antimalware dovrebbero confrontare il metodo di compressione dichiarato con la struttura effettiva dei dati. Un archivio che dichiara il metodo STORED ma contiene dati riconducibili al formato DEFLATE rappresenta un’anomalia evidente.

Una possibile contromisura consiste nell’implementare modalità di analisi più aggressive per gli archivi compressi. In questo scenario il motore tenta la decompressione utilizzando più algoritmi o verifica automaticamente la struttura dei blocchi compressi prima della scansione.

Anche gli utenti finali possono individuare segnali sospetti. Archivi ZIP che generano errori come “unsupported method” o “CRC failed” meritano attenzione, soprattutto quando provengono da mittenti sconosciuti. Eliminare immediatamente questi file riduce il rischio di eseguire payload nascosti tramite strumenti personalizzati.