WinRAR Sotto Assedio: Come un Pericoloso Bug è Diventato un Terreno di Gioco per lo Spionaggio Cibernetico
Molteplici gruppi di minaccia stanno attivamente sfruttando una nuova vulnerabilità di WinRAR appena corretta, prendendo di mira governi e organizzazioni in una crescente ondata di attacchi informatici.
In un tranquillo martedì, la U.S. Cybersecurity and Infrastructure Security Agency (CISA) ha lanciato silenziosamente un allarme che da allora ha fatto il giro del mondo: un bug critico in WinRAR, l’archiviatore di file più popolare al mondo, viene sfruttato senza pietà da molteplici gruppi di minaccia avanzati. Quello che sembrava solo un altro aggiornamento software è diventato il fulcro di una campagna di spionaggio informatico ad alto rischio, che ha intrappolato vittime dall’Ucraina al Sud-est asiatico e oltre.
Anatomia dell’Attacco
Al centro di questa ondata informatica c’è CVE-2025-6218, una vulnerabilità di path traversal nelle versioni Windows di WinRAR. Questa falla consente agli aggressori di creare file di archivio malevoli che, una volta aperti, possono depositare silenziosamente malware in posizioni sensibili del computer della vittima - come la cartella di Avvio di Windows. Il risultato: al prossimo riavvio del sistema, il codice dell’attaccante prende vita, spesso senza essere rilevato.
Gli attori delle minacce non hanno perso tempo nell’armare questo bug. Gli analisti di sicurezza russi hanno individuato per primi il gruppo noto come GOFFEE (alias Paper Werewolf) mentre sfruttava sia CVE-2025-6218 che la sua gemella, CVE-2025-8088, in una raffica di attacchi di phishing. Nel frattempo, il gruppo Bitter APT, attivo nel Sud-est asiatico, ha orchestrato attacchi utilizzando archivi RAR contenenti sia documenti Word apparentemente innocui sia template macro malevoli nascosti. Sostituendo il file template globale di Microsoft Word (Normal.dotm), gli aggressori si sono assicurati che la loro backdoor si attivasse ogni volta che Word veniva aperto, eludendo furtivamente le difese macro tradizionali.
Forse ancora più allarmante, il famigerato gruppo russo Gamaredon ha sfruttato CVE-2025-6218 in campagne di phishing mirate contro entità militari e governative ucraine. Il loro obiettivo: distribuire il malware Pteranodon per attività di spionaggio - e, con una nuova svolta, condurre attacchi distruttivi di tipo “wiper”, segnando un’escalation rispetto alle loro abituali tattiche di spionaggio. Gli esperti di sicurezza avvertono che non si tratta di criminalità informatica casuale, ma di sabotaggio coordinato e sostenuto da stati.
Risposta Globale e Urgenza
RARLAB, lo sviluppatore di WinRAR, si è mosso rapidamente per correggere la vulnerabilità a giugno 2025. Tuttavia, come la storia insegna, la finestra tra il rilascio della patch e la sua adozione diffusa rappresenta un’ora d’oro per gli aggressori. CISA ha imposto a tutte le agenzie federali civili degli Stati Uniti di applicare l’aggiornamento entro il 30 dicembre 2025, ma innumerevoli sistemi restano esposti in tutto il mondo.
Per ora, il messaggio è chiaro: aggiornate immediatamente WinRAR e controllate con attenzione ogni allegato email inaspettato - il prossimo clic potrebbe aprire la porta a molto più che semplici file.




