Gamaredon sfrutta WinRAR CVE-2025-8088 per spionaggio Ucraina

Gamaredon sfrutta WinRAR CVE-2025-8088 per spionaggio Ucraina

Il gruppo APT Gamaredon sta sfruttando la vulnerabilità path traversal CVE-2025-8088 in WinRAR per Windows per distribuire una catena di infezione modulare contro obiettivi ucraini. L'attività è stata osservata nel gennaio 2026 dagli analisti di Sekoia e pubblicata a giugno 2026. La campagna combina HTML Application, downloader VBScript, worm con persistenza via scheduled task e information stealer con esfiltrazione su cloud consumer.

La scoperta solleva due questioni documentate dalla fonte. La prima: Gamaredon ha costruito un'architettura modulare dove componenti possono essere aggiornati senza toccare il dropper iniziale. La seconda: la vulnerabilità è inserita nel CISA Known Exploited Vulnerabilities Catalog dal 12 agosto 2025 con due date al 2 settembre 2025.

L'anatomia della catena: da WinRAR a esfiltrazione su AWS S3

L'infezione inizia con GammaPhish, un payload HTML Application. Il meccanismo CVE-2025-8088, classificato CWE-35 secondo il record NVD, permette di sfuggire alla directory di estrazione prevista manipolando i percorsi all'interno di un archivio malevolo. Sekoia valuta con alta confidenza che GammaPhish sia progettato per distribuire prima GammaLoad: secondo la fonte citata, "assessing the global execution flow, we assess with high confidence that GammaPhish is designed to deploy GammaLoad first".

GammaLoad è un downloader VBScript intermedio le cui funzioni primarie, come documentato da Sekoia, includono il fingerprinting del sistema host, l'aggiornamento della configurazione di rete nel registro mediante dead drop resolvers (DDR), e il recupero di payload VBScript arbitrari dai server C2. Questa fase intermedia separa l'esecuzione iniziale dall'attività malevola permanente.

I payload finali sono due. GammaWorm è un worm VBScript che stabilisce persistenza tramite scheduled task, nasconde directory legittime in share di rete e unità USB sostituendole con file LNK malevoli, e utilizza NTFS Alternate Data Streams per occultare i moduli core. La risoluzione C2 avviene tramite GET request curl a un canale Telegram pubblico hard-coded. GammaSteel è un information stealer modulare che cattura file con estensioni specifiche e li esfiltra su bucket AWS S3 o su server controllati dall'attaccante come fallback.

"This infection chain reveals a resilient, massive, and highly obfuscated modular design... Because of its adaptability and the operator's ability to update configurations on the fly, it is highly likely that this architecture will be reused in the future" — Sekoia, via The Hacker News

Analisi: perché la modularità cambia la postura difensiva

La seguente sezione interpreta le implicazioni dell'architettura documentata da Sekoia.

L'architettura descritta nella fonte primaria presenta caratteristiche che meritano attenzione. La capacità di aggiornare le configurazioni C2 on-the-fly, documentata da Sekoia, implica che gli indicatori di compromissione possano perdere validità nel tempo. La fonte non specifica se questa tattica sia già stata osservata in campo o se resti una potenzialità teorica.

Telegram e AWS S3 sono piattaforme con larga adozione generica; la fonte non documenta se la loro scelta sia motivata da considerazioni di elusione perimetrale o da altri fattori. Sekoia non specifica la natura esatta dei dati esfiltrati tramite GammaSteel; il brief non documenta se l'attore cerchi documenti strategici o altre categorie specifiche.

Cosa fare adesso

• Verificare la presenza di WinRAR versione 7.13 o superiore su tutti gli endpoint Windows: il record NVD indica che le versioni precedenti sono vulnerabili a CVE-2025-8088, e CISA ha imposto mitigazione entro il 2 settembre 2025.
• Rivedere i log di estrazione archivi con attenzione ai path traversal indicatori, in particolare dove WinRAR estrae file con percorsi che superano la directory di destinazione.
• Monitorare il traffico verso endpoint AWS S3 non catalogati e verso domini Telegram web, in linea con le tecniche C2 documentate da Sekoia.
• Ispezire le scheduled task e gli NTFS Alternate Data Streams su sistemi con segnalazioni di LNK sospetti in share di rete o unità USB rimovibili.

La persistenza dell'exploitation e i limiti del dossier

La data di osservazione gennaio 2026 e la pubblicazione giugno 2026 creano un intervallo significativo. Sekoia non specifica quando la campagna sia effettivamente iniziata, né se l'attività osservata rappresenti un picco o una continuazione di operazioni precedenti. La fonte non definisce il vettore di distribuzione iniziale dell'archivio WinRAR weaponizzato: phishing email, drive-by download o altro metodo non sono documentati.

Il deployment di GammaWorm resta ambiguo. Sekoia indica che "the exact deployment vector for GammaWorm remains ambiguous; it could be dropped concurrently by GammaLoad, or introduced independently via a user executing a weaponized USB drive". Questa incertezza limita la capacità di ricostruire la catena completa in ogni istanza.

La presenza o assenza di GammaWipe (noto anche come GamaWiper) nella campagna specifica non è confermata: Sekoia indica solo che "could be used", senza documentare distribuzione effettiva.

Nota metodologica. Questa analisi si basa su un unico report primario di Sekoia via The Hacker News; i dettagli non confermati indipendentemente sono segnalati come tali. Le informazioni provengono dalla fonte citata e sono aggiornate al momento della pubblicazione di Sekoia.

Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.

Fonti

• https://thehackernews.com/2026/06/gamaredon-exploits-winrar-to-deliver.html
• https://nvd.nist.gov/vuln/detail/CVE-2025-8088
• https://nvd.nist.gov/vuln
• https://nvd.nist.gov/vuln/search
• https://nvd.nist.gov/vuln/categories
• https://nvd.nist.gov/vuln/data-feeds
• https://nvd.nist.gov/vuln/vendor-comments