Due gruppi criminali russi hanno sfruttato simultaneamente una grave vulnerabilità zero-day nel popolare compressore di file WinRAR, dimostrando un livello di coordinazione e sofisticazione tecnica che preoccupa gli esperti di sicurezza informatica. L'attacco, che ha preso di mira i 500 milioni di utenti del software, rappresenta un caso emblematico di come le organizzazioni criminali stiano investendo risorse considerevoli nello sviluppo di exploit avanzati. La scoperta solleva interrogativi sulla capacità di questi gruppi di individuare e sfruttare falle di sicurezza prima ancora che vengano identificate dai ricercatori legittimi.
La scoperta dell'exploit e la risposta rapida
I ricercatori di ESET hanno individuato i primi segnali dell'attacco il 18 luglio, quando i loro sistemi di telemetria hanno rilevato un file collocato in una directory dal percorso insolito. Sei giorni sono bastati agli analisti per comprendere che si trovavano di fronte allo sfruttamento di una vulnerabilità completamente sconosciuta in WinRAR. La tempestiva notifica agli sviluppatori del software ha portato al rilascio di una correzione entro una settimana dalla segnalazione.
L'exploit sfruttava una caratteristica poco conosciuta di Windows chiamata "alternate data streams", che permette diverse modalità di rappresentazione dello stesso percorso di file. Questa funzionalità è stata manipolata per innescare una falla di attraversamento dei percorsi precedentemente ignota, consentendo agli aggressori di installare eseguibili malevoli in directory normalmente protette come %TEMP% e %LOCALAPPDATA%.
RomCom: il gruppo criminale dalle risorse illimitate
ESET ha attribuito l'attacco principale al gruppo RomCom, un'organizzazione criminale russa con motivazioni finanziarie che da anni dimostra capacità tecniche di alto livello. La vulnerabilità, ora catalogata come CVE-2025-8088, rappresenta almeno la terza volta che questo collettivo utilizza exploit zero-day in attacchi reali, confermando la sua specializzazione nell'acquisizione e nell'utilizzo di vulnerabilità inedite.
Come hanno sottolineato i ricercatori Anton Cherepanov, Peter Strýček e Damien Schaeffer, il gruppo RomCom ha dimostrato la volontà di investire sforzi e risorse considerevoli nelle sue operazioni informatiche. Questa dedica si traduce in campagne di phishing personalizzate che utilizzano archivi malevoli come vettore d'infezione, installando backdoor sui computer delle vittime che aprono gli allegati.
Paper Werewolf: il secondo attore nella stessa vulnerabilità
La situazione si è rivelata ancora più complessa quando la società di sicurezza russa Bi.ZONE ha scoperto che un secondo gruppo, denominato Paper Werewolf (noto anche come GOFFEE), stava sfruttando contemporaneamente la medesima vulnerabilità. Questo collettivo non si limitava a CVE-2025-8088, ma utilizzava anche CVE-2025-6218, un'altra grave falla di WinRAR corretta cinque settimane prima.
La presenza di due gruppi distinti che sfruttano la stessa vulnerabilità zero-day suggerisce l'esistenza di un mercato sotterraneo degli exploit più strutturato di quanto precedentemente stimato. Questa sovrapposizione potrebbe indicare sia una condivisione di intelligence tra organizzazioni criminali sia l'acquisizione degli exploit da fornitori comuni nel dark web.
Implicazioni per la sicurezza globale
L'episodio evidenzia la crescente sofisticazione delle organizzazioni criminali informatiche, particolarmente quelle operanti dal territorio russo. La capacità di identificare, sviluppare e implementare exploit zero-day richiede competenze tecniche avanzate e investimenti significativi, tradizionalmente appannaggio di attori statali o di gruppi sponsorizzati da governi. Il fatto che gruppi criminali con motivazioni puramente finanziarie abbiano raggiunto questo livello di capacità operativa rappresenta un'evoluzione preoccupante del panorama delle minacce informatiche.