Investigadores da ESET descobriram uma vulnerabilidade zero-day no WinRAR, explorada pelo grupo RomCom, com ligações à Rússia. Segundo a empresa de segurança, este colectivo de hackers faz várias «campanhas oportunistas contra sectores verticais seleccionados e operações de espionagem direccionadas».
Esta nova vulnerabilidade, a CVE-2025-8088, faz «implantar uma DLL maliciosa» na pasta %TEMP%; «da mesma forma, um ficheiro LNK malicioso é implantado no directório de inicialização do Windows, alcançando assim persistência por meio da execução no login do utilizador», explica a ESET.
Isto acontece depois de o utilizador abrir um «ficheiro RAR aparentemente inofensivo», criado pelos hackers para que «aparentemente contivesse apenas um ficheiro benigno, quando na verdade tem vários ADSes (fluxos de dados alternativos) maliciosos.
De acordo com a ESET, estes arquivos foram usados em «campanhas de spearphishing entre 18 e 21 de Julho de 2025, dirigidas a empresas financeiras, de manufatura, defesa e logística na Europa e no Canadá, através de CV enviados para alvos específicos. Contudo, «nenhum dos alvos foi comprometido», garante a empresa.
A ESET conclui ainda que a escolha dos alvos por parte do RomCom «sugere uma motivação geopolítica por trás da operação», reforçando o papel do grupo entre as ameaças persistentes avançadas alinhadas com a Rússia.
