Os investigadores da ESET, maior empresa europeia de cibersegurança, descobriram uma vulnerabilidade até então desconhecida (zero-day) no WinRAR, que está a ser explorada pelo grupo RomCom, alinhado com a Rússia. Esta é pelo menos a terceira vez que o RomCom é apanhado a explorar uma vulnerabilidade de zero-day significativa.
RomCom: o grupo russo que explora a vulnerabilidade do WinRAR
Exemplos anteriores incluem o abuso do CVE-2023-36884 através do Microsoft Word em junho de 2023 e as vulnerabilidades combinadas atribuídas ao CVE-2024-9680 encadeadas com outra vulnerabilidade anteriormente desconhecida no Windows, CVE-2024-49039, visando versões vulneráveis do Firefox, Thunderbird e Tor Browser, levando à execução de código arbitrário no contexto do utilizador ligado em outubro de 2024.
O RomCom (também conhecido como Storm-0978, Tropical Scorpius ou UNC2596) é um grupo alinhado com a Rússia que conduz campanhas oportunistas contra setores verticais selecionados e operações de espionagem direcionadas.
O foco do grupo mudou para incluir operações de espionagem para recolher informações, em paralelo com as suas operações de cibercrime mais convencionais. A backdoor comummente usada pelo grupo é capaz de executar comandos e descarregar módulos adicionais para a máquina da vítima.
A vulnerabilidade, identificada como CVE-2025-8088, utiliza fluxos de dados alternativos (ADSes) para travessia de caminho. Note-se que uma vulnerabilidade semelhante (CVE-2025-6218) que afeta o WinRAR foi divulgada em 19 de junho de 2025, aproximadamente um mês antes.
Assim que a vítima abre o ficheiro aparentemente inofensivo, o WinRAR descompacta-o juntamente com todos os seus ADSes. Por exemplo, para ‘Eli_Rosenfeld_CV2 – Copy (10).rar’, uma DLL maliciosa é implantada em %TEMP%. Da mesma forma, um ficheiro LNK malicioso é implantado no diretório de inicialização do Windows, alcançando assim persistência por meio da execução no login do utilizador.
Os atacantes criaram o arquivo de forma especial para que aparentemente contivesse apenas um ficheiro benigno, quando, na verdade, contém vários ADSes maliciosos.
De acordo com a telemetria da ESET, estes arquivos foram usados em campanhas de spearphishing entre 18 e 21 de julho de 2025, visando empresas financeiras, de manufatura, defesa e logística na Europa e no Canadá. Em todos os casos, os atacantes enviaram um CV na esperança de que um alvo curioso o abrisse. De acordo com a telemetria da ESET, nenhum dos alvos foi comprometido.
Esta não é a primeira vez que o RomCom usa exploits para comprometer as suas vítimas. Em junho de 2023, o grupo realizou uma campanha de spearphishing visando entidades governamentais e de defesa na Europa, com engodos relacionados com o Congresso Mundial Ucraniano.
O documento Microsoft Word anexado ao email tentou explorar a vulnerabilidade CVE-2023-36884, conforme documentado pela equipa de Pesquisa e Inteligência de Ameaças da BlackBerry.
Em 8 de outubro de 2024, o grupo explorou uma vulnerabilidade então desconhecida no navegador Firefox. A exploração visava uma vulnerabilidade de uso após liberação nas linhas do tempo do Firefox Animation, permitindo que um invasor executasse código num processo de conteúdo, com o objetivo de implantar o backdoor RomCom.
Ao explorar uma vulnerabilidade de zero-day anteriormente desconhecida no WinRAR, o grupo RomCom mostrou que está disposto a investir esforços e recursos significativos nas suas operações cibernéticas. Esta é pelo menos a terceira vez que o RomCom usa uma vulnerabilidade de zero-day em ação, destacando o seu foco contínuo em adquirir e usar exploits para ataques direcionados.
A campanha descoberta teve como alvo setores que se alinham com os interesses típicos dos grupos APT alinhados com a Rússia, sugerindo uma motivação geopolítica por trás da operação.
