- Grupos alinhados à Rússia, Shadow-Earth-066 e Earth Dahu (Gamaredon), exploram uma falha no WinRAR (CVE-2025-8088) para atacar órgãos militares e governamentais da Ucrânia.
- A falha, de path traversal, permite que arquivos maliciosos escrevam fora da pasta de extração e sejam movidos para a pasta de inicialização do Windows, acionando o malware no login.
- Shadow-Earth-066 usa e-mails com tema militar; o arquivo RAR contém um PDF como isca e três arquivos ocultos que, ao serem extraídos, instalam o GiftedCrook (versão avançada) para roubo de credenciais e dados.
- Earth Dahu prefere phishing com contas governamentais ucranianas comprometidas e envia HTA na inicialização para baixar módulos de espionagem; pode também apagar dados das vítimas.
- Mesmo após o patch de julho de 2025 (WinRAR 7.13), a falha continua ativa porque o WinRAR não atualiza automaticamente e muitas organizações não aplicaram a correção manualmente. Recomenda-se atualizar para a versão 7.13 ou superior e monitorar a pasta de inicialização.
Dois grupos de cibercriminosos alinhados à Rússia exploram uma vulnerabilidade corrigida no WinRAR para espionar e roubar dados de vítimas na Ucrânia. A Trend Micro identificou as atividades, ocorridas mesmo após o patch de julho de 2025, que não foi aplicado por muitos sistemas. A ação mira alvos militares e governamentais ucranianos.
Os grupos envolvidos são Shadow-Earth-066 e Earth Dahu, também conhecido como Gamaredon. Ambos utilizam e-mails maliciosos como porta de entrada, mas seguem caminhos distintos após o acesso inicial. O objetivo é coletar credenciais, dados e informações de espionagem.
Como funciona o ataque
A falha CVE-2025-8088, classificada como path traversal, permite que arquivos RAR maliciosos gravem fora da pasta de extração. O malware se instala na pasta de inicialização do Windows, sem avisos ao usuário, para ser executado no login seguinte. A vítima vê apenas um documento inofensivo.
Shadow-Earth-066 envia e-mails tomados com temas militares ou governamentais. O anexo RAR incorpora um PDF de isca e três arquivos ocultos que, ao serem extraídos, criam autoinicialização silenciosa. O malware GiftedCrook, versão avançada, é utilizado para roubo de dados.
Earth Dahu aplica uma abordagem diferente. O grupo lança phishing com contas governamentais ucranianas comprometidas e assuntos que imitma notificações judiciais. O RAR deposita um HTA na pasta de inicialização que, no login, carrega módulos de espionagem.
O que é instalado e o que é roubado
O código malicioso permite acesso a senhas de navegadores e cookies de sessão, além de vasculhar pastas de documentos, downloads e temporários em busca de dezenas de tipos de arquivo. Dados coletados são enviados a servidores de comando e controle, com rastros apagados ao final.
O conjunto inclui três componentes ocultos, um loader em PowerShell e o módulo de espionagem GiftedCrook. A solução atual usa criptografia e infraestrutura dedicada para dificultar detecção por defesas.
Por que a vulnerabilidade ainda é explorada
A correção chegou em julho de 2025, na versão 7.13 do WinRAR, mas a atualização não é aplicada automaticamente. Ambientes com milhares de máquinas exigem auditorias manuais ou ferramentas especializadas para identificar instalações desatualizadas.
Outros grupos russos, como Sandworm, Turla e Void Rabisu, também foram apontados explorando a mesma falha. Até abril de 2026, Shadow-Earth-066 e Earth Dahu continuavam gerando novas amostras de ataque.
Proteções recomendadas
Atualizar o WinRAR para versão 7.13 ou superior é essencial. Organizações devem mapear a presença do software na rede com ferramentas de descoberta de ativos. Ajustes na pasta de inicialização do Windows e alertas de alterações ajudam a bloquear o acionamento automático do malware.
Filtrar e inspecionar anexos de e-mails recebidos também reduz a chance de inserir RARs maliciosos na rede. As medidas combinadas visam interromper a cadeia de ataque antes que o usuário seja exposto.
Entre na conversa da comunidade