A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) adicionou nesta terça-feira uma vulnerabilidade do WinRAR ao seu catálogo Known Exploited Vulnerabilities (KEV), após identificar evidências de exploração ativa.
A falha, registrada como
CVE-2025-6218
e com pontuação CVSS 7,8, é um bug de path traversal que pode permitir execução remota de código.
Para que o ataque seja bem-sucedido, a vítima precisa acessar uma página maliciosa ou abrir um arquivo infectado.
Segundo a CISA, “o WinRAR da RARLAB contém uma vulnerabilidade de path traversal que permite a um invasor executar código no contexto do usuário atual”.
A correção foi disponibilizada pela RARLAB na versão 7.12, lançada em junho de 2025, e afeta exclusivamente as versões para Windows.
Builds para outros sistemas, como Unix e Android, não são impactados.
No momento do lançamento do patch, a RARLAB alertou que a falha poderia ser explorada para colocar arquivos em locais sensíveis, como a pasta de inicialização do Windows, permitindo a execução de código indesejado no próximo login.
A descoberta ocorre após relatos de empresas como BI.ZONE, Foresiet, SecPod e Synaptic Security, que detectaram ataques explorando a vulnerabilidade.
Foram identificados três grupos de ameaças distintos explorando a falha: GOFFEE (também conhecido como Paper Werewolf), Bitter (APT-C-08 ou Manlinghua) e Gamaredon.
Em análise publicada em agosto de 2025, o fornecedor russo Foresiet apontou que o grupo GOFFEE pode ter usado a
CVE-2025-6218
juntamente com outra falha de path traversal no WinRAR,
CVE-2025-8088
(CVSS 8,8), em ataques via phishing contra organizações russas em julho do mesmo ano.
Além disso, a ameaça Bitter, focada no sul da Ásia, também aproveitou a vulnerabilidade para manter persistência no sistema comprometido, instalando um trojan em C# por meio de um downloader leve.
O ataque utiliza um arquivo RAR chamado "Provision of Information for Sectoral for AJK.rar", que contém um documento Word aparentemente benigno e um template malicioso com macro.
Foresiet explicou no mês passado que “o arquivo malicioso deposita um arquivo chamado Normal.dotm no caminho do template global do Microsoft Word.
Como esse template é carregado toda vez que o Word é aberto, substituir o arquivo legítimo garante a execução automática da macro maliciosa, criando uma backdoor persistente que contorna os bloqueios padrão de macros em e-mails após a infecção inicial”.
O trojan em C# conecta-se a um servidor externo ("johnfashionaccess[.]com") para controle remoto, permitindo keylogging, captura de tela, roubo de credenciais RDP e exfiltração de arquivos.
A distribuição dos arquivos RAR ocorre por meio de ataques de spear-phishing.
Por fim, o
CVE-2025-6218
também foi explorado pelo grupo hacker russo Gamaredon em campanhas de phishing direcionadas a entidades militares, governamentais, políticas e administrativas ucranianas.
O objetivo era infectar os alvos com o malware Pteranodon, atividade detectada pela primeira vez em novembro de 2025.
Um pesquisador que assina como Robin declarou: “Esta não é uma campanha oportunista.
Trata-se de uma operação estruturada de espionagem e sabotagem militar, consistente com ações coordenadas pela inteligência estatal russa”.
Vale destacar que o Gamaredon vem abusando intensamente da falha
CVE-2025-8088
para distribuir malware em Visual Basic Script e até mesmo um wiper chamado GamaWiper.
Segundo a ClearSky, que divulgou essas informações em 30 de novembro de 2025 no X, “este é o primeiro registro do Gamaredon realizando operações destrutivas, diferente de sua atividade tradicional focada em espionagem”.
Diante da exploração ativa da vulnerabilidade, agências do Federal Civilian Executive Branch (FCEB) dos EUA têm até 30 de dezembro de 2025 para aplicar os patches necessários e proteger suas redes.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...