Un’innocua candidatura di lavoro allegata a un’email può celare un attacco mirato. È quanto emerso con la scoperta di una nuova vulnerabilità zero-day in WinRAR, identificata come CVE-2025-8088, sfruttata dal gruppo filorusso RomCom (noto anche come Storm-0978, Tropical Scorpius o UNC2596). Il difetto, individuato dai ricercatori di ESET, riguarda le versioni di WinRAR fino alla 7.12 e interessa anche software di terze parti che utilizzano la libreria UnRAR.dll o il relativo codice sorgente.
La falla è stata osservata in campagne di spearphishing rivolte a settori strategici in Europa e Canada — finanza, difesa, logistica e manifattura — tra il 18 e il 21 luglio 2025.
Lo spearphishing è una forma di phishing mirato, in cui l’attacco non viene lanciato “a pioggia” verso un gran numero di persone, ma preparato con attenzione per colpire un individuo o un’organizzazione specifica.
Cos’è lo spearphishing?
A differenza del phishing generico — che può essere un’email impersonale che chiede di “verificare il conto” o verificare il “tracing di un pacco” — lo spearphishing si basa su informazioni reali raccolte in precedenza sulla vittima: nome, ruolo in azienda, progetti su cui lavora, contatti professionali. Questo rende il messaggio molto più credibile e difficile da riconoscere come truffa.
Nei casi legati a cyberspionaggio o APT (Advanced Persistent Threat), come quello messo in atto dal gruppo RomCom, questa tecnica viene spesso usata per convincere la vittima ad aprire un allegato, solitamente mascherato da documento di lavoro o comunicazione interna apparentemente proveniente da un collega o un superiore.
Meccanismo d’azione
Gli aggressori distribuivano archivi RAR contenenti, agli occhi delle vittime, un solo documento apparentemente legittimo. In realtà, sfruttando una debolezza nella gestione degli Alternate Data Streams (ADS), l’apertura o l’estrazione del file comportava il rilascio silenzioso di componenti malevoli in percorsi non scelti dall’utente, come la cartella temporanea di Windows (%TEMP%) o la directory di avvio automatico. Questo meccanismo garantiva la persistenza dell’infezione, attivandola al successivo riavvio o all’avvio di alcune applicazioni legittime.
In uno degli scenari analizzati, il malware si avvaleva di un componente COM (Component Object Model) per manipolare il registro di sistema, reindirizzando il caricamento di una libreria. Così, quando l’utente apriva Microsoft Edge, il browser caricava inconsapevolmente una DLL malevola (msedge.dll), eseguendo il codice dell’attaccante.
Viene sfruttata una caratteristica storica del file system NTFS
Il meccanismo degli Alternate Data Streams sfrutta una caratteristica storica del file system NTFS di Windows, originariamente pensata per la compatibilità con file MacOS. Questa funzionalità consente di associare dati nascosti a un file senza alterarne il contenuto principale, rendendo difficile la rilevazione da parte dell’utente e, in alcuni casi, persino da parte degli antivirus non configurati per analizzarli. Questa stessa proprietà, oggi raramente usata per scopi legittimi, la rende una tecnica appetibile per operazioni malevole ad alta furtività.
Tempestiva correzione, ma rischio ancora elevato
ESET ha segnalato la vulnerabilità al team di WinRAR il 24 luglio 2025. Nello stesso giorno è stata rilasciata la versione 7.13 beta 1, seguita dalla release stabile il 30 luglio, appena dodici giorni dopo la scoperta iniziale del problema.
Tuttavia, WinRAR non dispone di un sistema di aggiornamento automatico, e molti utenti tendono a mantenerne versioni installate da anni senza verificare la disponibilità di nuove release.
Il gruppo RomCom non è nuovo all’uso di exploit zero-day. Negli ultimi anni ha sfruttato CVE-2023-36884, veicolata tramite documenti Microsoft Word nel giugno 2023, e CVE-2024-9680, combinata con una falla di Windows nell’ottobre 2024. Le loro operazioni spesso uniscono attività di cybercrime e spionaggio.
Gli esperti sottolineano che, data la natura della vulnerabilità — un semplice file RAR può compromettere un intero sistema — l’aggiornamento manuale alla versione 7.13 rappresenta una priorità assoluta.
E’ bene precisare che il rischio non riguarda solo WinRAR, ma anche applicazioni terze che si affidano a versioni non aggiornate della libreria UnRAR.dll.
Per restare sempre aggiornato seguici su Google News!
