WinRAR torna al centro dell’attenzione per motivi di sicurezza informatica, dopo la scoperta di una nuova vulnerabilità zero-day, catalogata come CVE-2025-8088. Il difetto, individuato dai ricercatori di ESET, è stato sfruttato attivamente dal gruppo RomCom, noto anche come Storm-0978, Tropical Scorpius o UNC2596, considerato vicino a interessi geopolitici russi.
La falla permetteva un attacco di path traversal tramite Alternate Data Streams (ADS), consentendo l’esecuzione di codice malevolo sul sistema della vittima. L’allarme è scattato il 18 luglio 2025, quando in un archivio RAR con percorsi sospetti è stato rinvenuto un file DLL denominato msedge.dll. Presentato come una candidatura di lavoro, il pacchetto conteneva più ADS con payload nascosti, in grado di insediarsi nella directory temporanea o nella cartella di avvio di Windows, garantendo persistenza all’infezione.
Gli attacchi, circoscritti tra il 18 e il 21 luglio, hanno preso di mira realtà dei settori finanziario, manifatturiero, difesa e logistica in Europa e Canada. In tutti i casi, le vittime hanno ricevuto email di spear phishing con un archivio apparentemente innocuo, contenente un documento “pulito” ma accompagnato da componenti malevoli invisibili. Secondo ESET, nessuno dei bersagli sarebbe stato compromesso, ma l’episodio evidenziava comunque l’elevato livello di sofisticazione della campagna.
Il gruppo RomCom ha un precedente nella gestione di vulnerabilità zero-day: nel 2023 ha sfruttato CVE-2023-36884 tramite documenti di Microsoft Word, mentre nell’ottobre 2024 ha combinato CVE-2024-9680 con un’altra falla di Windows in operazioni di cyber spionaggio e criminalità informatica.
ESET ha segnalato la nuova criticità al team di sviluppo di WinRAR il 24 luglio 2025. La risposta è stata immediata: lo stesso giorno è stata rilasciata la versione 7.13 beta 1, seguita dalla release stabile il 30 luglio. L’exploit non minaccia soltanto il software principale, ma anche applicazioni di terze parti che integrano UnRAR.dll non aggiornata.
Gli utenti sono stati invitati ad aggiornare subito alla versione 7.13 per mitigare i rischi. La rapidità della patch sottolinea la gravità della minaccia e conferma come l’uso di exploit zero-day da parte di APT sia ormai una strategia ricorrente, capace di colpire settori strategici e infrastrutture critiche. In un panorama in cui i vettori di attacco si evolvono costantemente, mantenere i sistemi aggiornati non è più solo una buona pratica, ma un requisito essenziale di sicurezza.
