Cve-2025-8088

Em 2025, grupos hackers associados à China, especialmente o Amaranth-Dragon, realizaram campanhas de espionagem em agências governamentais no sudoeste da Ásia, incluindo Camboja, Laos, Indonésia, Filipinas, Tailândia e Singapura. Pesquisadores da Check Point Research identificaram que esses ataques foram planejados para coincidir com eventos políticos sensíveis, aumentando a probabilidade de que as vítimas interagissem com conteúdos maliciosos. O grupo utiliza a vulnerabilidade CVE-2025-8088 do WinRAR, que permite a execução remota de códigos, e embora já tenha sido corrigida, muitos usuários ainda não atualizaram o software, mantendo a falha em potencial. O vetor de ataque inicial é desconhecido, mas acredita-se que o grupo utilize spear-phishing e plataformas de nuvem como Dropbox para disfarçar suas atividades. O malware, denominado Amaranth Loader, realiza carregamento lateral e se conecta a servidores externos para receber chaves de encriptação, permitindo a execução de um trojan de acesso remoto. A infraestrutura dos hackers é cuidadosamente controlada, aceitando tráfego apenas de IPs de países-alvo, o que demonstra um nível elevado de sofisticação nas técnicas empregadas.

Um novo ator de ameaças, denominado Amaranth Dragon, vinculado a operações patrocinadas pelo estado chinês APT41, tem explorado a vulnerabilidade CVE-2025-8088 no WinRAR para realizar ataques de espionagem direcionados a agências governamentais e de segurança. Os hackers utilizam ferramentas legítimas combinadas com um carregador personalizado, o Amaranth Loader, para entregar cargas úteis criptografadas a partir de servidores de comando e controle (C2) protegidos pela infraestrutura da Cloudflare, aumentando a precisão e a furtividade dos ataques. Pesquisadores da Check Point identificaram que o grupo tem como alvo organizações em países do Sudeste Asiático, como Cingapura, Tailândia e Filipinas. A vulnerabilidade permite que arquivos maliciosos sejam escritos em locais arbitrários no Windows, e desde meados de 2025, diversos grupos têm explorado essa falha em ataques zero-day. O Amaranth Dragon começou a explorar a falha em 18 de agosto de 2025, utilizando arquivos ZIP com scripts maliciosos e, posteriormente, aproveitando a vulnerabilidade para inserir scripts na pasta de inicialização do Windows. O grupo também implementou um novo RAT, o TGAmaranth, que utiliza um bot do Telegram para suas atividades de C2 e possui capacidades avançadas de evasão de detecção. Dada a exploração ativa da CVE-2025-8088, recomenda-se que as organizações atualizem para a versão mais recente do WinRAR para mitigar os riscos associados.

O WinRAR, um popular programa de compactação de arquivos, está enfrentando uma vulnerabilidade crítica, identificada como CVE-2025-8088, que permite a execução de código arbitrário em sistemas comprometidos. Essa falha, classificada com um índice de severidade de 8.4/10, afeta as versões 7.12 e anteriores do software. Pesquisadores de segurança alertam que grupos de hackers, incluindo organizações patrocinadas por estados, estão explorando essa vulnerabilidade para implantar malware em dispositivos-alvo. O uso de Streams de Dados Alternativos (ADS) no WinRAR permite que os atacantes escondam cargas maliciosas em arquivos aparentemente inofensivos, como documentos PDF. Quando o usuário abre o arquivo, o malware é extraído e executado. Entre os grupos que têm utilizado essa falha estão o RomCom, alinhado à Rússia, e diversos atores patrocinados pela China. Para mitigar os riscos, é recomendado que os usuários atualizem para a versão 7.13 ou superior do WinRAR, já que a atualização não requer desinstalação do programa anterior.

Uma vulnerabilidade de alta severidade, identificada como CVE-2025-8088, no software WinRAR está sendo explorada por diversos grupos de ameaças, tanto patrocinados por estados quanto motivados financeiramente. Essa falha de segurança, que se trata de um erro de travessia de caminho, permite que atacantes escrevam arquivos maliciosos em locais arbitrários, utilizando Fluxos de Dados Alternativos (ADS). Pesquisadores da ESET descobriram a vulnerabilidade e relataram que o grupo RomCom, alinhado à Rússia, a estava explorando em ataques zero-day desde julho de 2025. O Google Threat Intelligence Group (GTIG) confirmou que a exploração da vulnerabilidade continua ativa, com grupos de espionagem e cibercriminosos utilizando-a para implantar malware em pastas de inicialização do Windows. Os atacantes frequentemente ocultam arquivos maliciosos dentro de arquivos de isca, como documentos PDF, que, ao serem abertos, extraem o payload malicioso. Entre os grupos observados estão UNC4895, APT44 e Turla, que utilizam a vulnerabilidade para distribuir uma variedade de malwares, incluindo ferramentas de acesso remoto e ladrões de informações. A exploração dessa vulnerabilidade reflete a crescente comercialização do desenvolvimento de exploits, facilitando ataques a sistemas não corrigidos.

O grupo de cibercriminosos Gamaredon, conhecido por atacar agências governamentais da Europa Oriental, iniciou uma nova campanha de phishing que explora uma vulnerabilidade crítica no WinRAR, identificada como CVE-2025-8088. Essa falha permite que atacantes contornem controles de segurança e extraiam arquivos maliciosos para locais arbitrários do sistema sem interação do usuário, além de abrir um arquivo PDF aparentemente inofensivo.

A técnica utilizada é sofisticada: os atacantes criam arquivos RAR armados que contêm um PDF legítimo e um arquivo HTA malicioso. Ao interagir com o arquivo, a vulnerabilidade é ativada, permitindo que o malware seja depositado silenciosamente na pasta de inicialização do Windows, garantindo sua persistência e execução após a reinicialização do sistema.

Uma vulnerabilidade crítica no WinRAR, identificada como CVE-2025-8088, está sendo explorada por cibercriminosos para instalar malware em computadores sem o conhecimento dos usuários. A falha, com uma pontuação de 8.8 na escala CVSS, permite que arquivos maliciosos sejam extraídos para pastas do sistema operacional ao abrir arquivos aparentemente inofensivos. Descoberta pela ESET em julho de 2025, a vulnerabilidade afeta todas as versões do WinRAR até a 7.12 e foi corrigida na versão 7.13, lançada em 30 de julho. O ataque utiliza uma técnica chamada “path traversal” em combinação com “Alternate Data Streams” (ADS), permitindo que arquivos maliciosos sejam colocados em locais críticos do Windows, como a pasta de inicialização. A falta de um sistema de atualização automática no WinRAR torna milhões de usuários vulneráveis, especialmente ao abrir arquivos RAR suspeitos. O grupo de hackers RomCom, conhecido por suas operações sofisticadas, está por trás dessa exploração, utilizando malwares como SnipBot e RustyClaw para roubar dados e manter controle sobre os sistemas infectados. A atualização imediata do WinRAR é essencial para evitar compromissos de segurança.