O Google emitiu um alerta sobre a exploração contínua de uma vulnerabilidade crítica no WinRAR por diversos agentes de ameaça, incluindo grupos hackers patrocinados por Estados e organizações com motivação financeira. Apesar de a falha já ter sido corrigida oficialmente, ela continua sendo amplamente utilizada em ataques reais para obtenção de acesso inicial e instalação de diferentes famílias de malware.
Identificada como CVE-2025-8088, com pontuação CVSS de 8,8, a vulnerabilidade foi corrigida em julho de 2025, mas segue sendo explorada como falha do tipo n-day. De acordo com o Google Threat Intelligence Group (GTIG), atores ligados à Rússia e à China, além de grupos focados em crimes financeiros, continuam explorando o problema em campanhas distintas.
O vetor de ataque é baseado em uma falha de path traversal, que permite a extração de arquivos maliciosos diretamente na pasta de inicialização do Windows. Essa técnica garante persistência automática do malware sempre que o sistema é reiniciado e o usuário realiza login, sem exigir novas interações.
As versões vulneráveis do WinRAR foram corrigidas com o lançamento da versão 7.13, em 30 de julho de 2025. A exploração ocorre por meio de arquivos RAR especialmente preparados para executar código arbitrário quando abertos. Para a vítima, o arquivo aparenta ser legítimo, enquanto o malware é instalado de forma silenciosa no sistema.
A falha foi inicialmente identificada e reportada pela ESET, que detectou sua exploração como zero-day desde 18 de julho de 2025 por um grupo hacker conhecido por atividades de espionagem e crimes financeiros. Nesse contexto, a vulnerabilidade foi usada para distribuir uma variante do malware SnipBot (NESTPACKER). O Google também monitora campanhas associadas ao ransomware Cuba, que utilizam técnicas semelhantes.
Com o avanço das investigações, os pesquisadores observaram uma ampliação significativa do uso da falha. Cadeias de ataque passaram a ocultar arquivos maliciosos em atalhos do Windows (LNK) armazenados em fluxos alternativos de dados (ADS) dentro de arquivos de isca. Essa abordagem garante a execução automática do payload após a reinicialização do sistema. Grupos hackers russos adotaram amplamente a técnica, utilizando temas relacionados à guerra na Ucrânia, órgãos governamentais e operações militares como iscas.
Além disso, o GTIG identificou um agente de ameaça baseado na China explorando a CVE-2025-8088 para implantar o malware Poison Ivy. Grupos financeiros também passaram a utilizar rapidamente a falha para distribuir trojans de acesso remoto (RATs) e infostealers, como AsyncRAT e XWorm. Em alguns casos, foram detectados backdoors controlados por meio de bots no Telegram.
Um dos aspectos que mais chamou a atenção dos pesquisadores foi o impacto no Brasil. Segundo o Google, um grupo especializado em fraudes bancárias explorou a vulnerabilidade para disseminar uma extensão maliciosa do Google Chrome. Essa extensão era capaz de injetar código JavaScript em páginas de instituições financeiras brasileiras, viabilizando ataques de phishing e o roubo de credenciais bancárias.
De acordo com o Google, a exploração em larga escala da falha está diretamente relacionada à economia clandestina de exploits. Vulnerabilidades no WinRAR chegaram a ser comercializadas por milhares de dólares antes mesmo da divulgação pública. Um fornecedor conhecido como zeroplayer teria vendido o exploit semanas antes da revelação oficial da CVE-2025-8088, evidenciando a crescente mercantilização do ciclo de ataques. O cenário se torna ainda mais preocupante com a exploração paralela de outra falha no WinRAR, a CVE-2025-6218, com pontuação CVSS de 7,8, que também vem sendo utilizada por diferentes grupos hackers.
