A vulnerabilidade, identificada como CVE-2025-8088, está a ser explorada pelo grupo RomCom. Segundo a ESET, esta é, pelo menos, a terceira vez que o grupo alinhado com a Rússia explora uma vulnerabilidade zero-day significativa.

Conhecido também como Storm-0978, Tropical Scorpius ou UNC2596, o grupo RomCom tem levado a cabo campanhas contra sectores específicos. Além de atividades de cibercrime mais “convencionais”, o foco dos atacantes passou a incluir operações de espionagem para recolha de dados.

A backdoor mais frequentemente usada pelo grupo é capaz de executar comandos e descarregar módulos adicionais para os equipamentos das vítimas, avançam os investigadores.

Ao ser explorada, a vulnerabilidade permite instalar malware sem que as vítimas se apercebam disso. De acordo com a investigação, os atacantes criam ficheiros rar. que parecem inofensivos, mas que escondem fluxos de dados alternativos (ADSes) com conteúdo malicioso.

ESET | Grupo RomCom explora vulnerabilidade no WinRAR
ESET | Grupo RomCom explora vulnerabilidade no WinRAR créditos: ESET

Ao abrirem os ficheiros através do WinRAR, todos os ADSes são descompactados e o conteúdo malicioso é colocado em pastas temporárias e em ficheiros de atalho no diretório do Windows que executa programas quando o utilizador inicia sessão.

Durante a campanha de spearphishing, que decorreu entre 18 e 21 de julho, os atacantes do grupo RomCom enviaram currículos (CVs), que incluíam os ficheiros maliciosos, às empresas visadas, nas áreas das finanças, manufatura, defesa e logística. Mas, de acordo com a telemetria da ESET, nenhum dos alvos foi comprometido.

Os investigadores realçam que, em junho de 2023, o grupo RomCom tinha lançado uma campanha de spearphishing que tinha como alvo entidades governamentais e de Defesa na Europa. Já em outubro de 2024, o grupo explorou uma vulnerabilidade então desconhecida no navegador Firefox.

A ESET acrescenta que a vulnerabilidade também estava a ser explorada por outro grupo, conhecido como Paper Werewolf, como revelado por uma investigação realizada pela empresa de cibersegurança russa BI.Zone. Curiosamente, estes atacantes terão começado a explorar a falha uns dias antes do grupo RomCom.

Ao identificarem a exploração da vulnerabilidade por parte do grupo RomCom, os investigadores entraram em contacto com o programador responsável pelo WinRAR. A vulnerabilidade foi corrigida através de uma atualização que já está disponível. “Os utilizadores do WinRAR são aconselhados a instalar a versão mais recente o mais rapidamente possível para mitigar os riscos”, realçam.