Gamaredon

O grupo de cibercriminosos Gamaredon, conhecido por atacar agências governamentais da Europa Oriental, iniciou uma nova campanha de phishing que explora uma vulnerabilidade crítica no WinRAR, identificada como CVE-2025-8088. Essa falha permite que atacantes contornem controles de segurança e extraiam arquivos maliciosos para locais arbitrários do sistema sem interação do usuário, além de abrir um arquivo PDF aparentemente inofensivo.

A técnica utilizada é sofisticada: os atacantes criam arquivos RAR armados que contêm um PDF legítimo e um arquivo HTA malicioso. Ao interagir com o arquivo, a vulnerabilidade é ativada, permitindo que o malware seja depositado silenciosamente na pasta de inicialização do Windows, garantindo sua persistência e execução após a reinicialização do sistema.

Pesquisadores de cibersegurança da ESET identificaram uma colaboração entre os grupos de hackers russos Gamaredon e Turla, ambos associados ao Serviço Federal de Segurança da Rússia (FSB), visando entidades ucranianas. Em fevereiro de 2025, ferramentas do Gamaredon, como PteroGraphin e PteroOdd, foram utilizadas para executar o backdoor Kazuar do grupo Turla em sistemas na Ucrânia. O Kazuar, um malware frequentemente atualizado, é conhecido por sua capacidade de espionagem e coleta de dados. A ESET observou que o PteroGraphin foi usado para reiniciar o Kazuar após falhas, indicando uma estratégia de recuperação. Além disso, em abril e junho de 2025, foram detectadas implantações do Kazuar v2 através de outras ferramentas do Gamaredon. A invasão da Ucrânia pela Rússia em 2022 parece ter intensificado essa colaboração, com foco em setores de defesa. Os ataques têm como alvo informações sensíveis, utilizando técnicas como spear-phishing e arquivos LNK maliciosos. A ESET alerta que a combinação de ferramentas e a troca de informações entre os grupos aumentam o risco para as entidades ucranianas, e a situação requer atenção contínua.