WinRAR: hacker russi sfruttano vecchia vulnerabilità per rubare dati

Una vulnerabilità corretta mesi fa continua a rappresentare una minaccia concreta per milioni di sistemi Windows.

I ricercatori di Google Threat Intelligence Group hanno rilevato una campagna di sfruttamento su larga scala che prende di mira installazioni obsolete di WinRAR, uno dei software di compressione più diffusi al mondo. L’attività coinvolge gruppi legati alla Russia, operatori collegati alla Cina e organizzazioni criminali motivate da interessi economici.

Il caso evidenzia una realtà ben nota nel settore della sicurezza informatica: anche dopo la pubblicazione di una patch, una vulnerabilità può restare efficace per molto tempo se gli utenti non aggiornano i propri sistemi.

Come funziona l’attacco e chi lo sta usando

Al centro degli attacchi c’è CVE-2025-8088, una falla ad alta gravità che interessa le versioni Windows di WinRAR precedenti alla 7.13. La vulnerabilità sfrutta i cosiddetti Alternate Data Streams (ADS), una caratteristica del file system NTFS che permette di associare flussi di dati aggiuntivi a un file. Gli aggressori inseriscono codice malevolo all’interno di archivi apparentemente innocui, spesso accompagnati da documenti esca come PDF, curriculum o comunicazioni amministrative.