Martedi 07 Luglio 2026 02:33:10 GMT+02:00

Netcrook

HomeManifesto
News
Techcrook
Geocrook
WikicrookTeamAppContatti
ItalianoEnglishArabic

Security Awareness & Social Engineering

WinRAR Sotto Assedio: Come un Pericoloso Bug è Diventato un Terreno di Gioco per lo Spionaggio Cibernetico

Pubblicato: 10 Dicembre 2025 13:49Categoria: Security Awareness & Social EngineeringArea: EuropeAutore: WHITEHAWK

Molteplici gruppi di minaccia stanno attivamente sfruttando una nuova vulnerabilità di WinRAR appena corretta, prendendo di mira governi e organizzazioni in una crescente ondata di attacchi informatici.

In un tranquillo martedì, la U.S. Cybersecurity and Infrastructure Security Agency (CISA) ha lanciato silenziosamente un allarme che da allora ha fatto il giro del mondo: un bug critico in WinRAR, l’archiviatore di file più popolare al mondo, viene sfruttato senza pietà da molteplici gruppi di minaccia avanzati. Quello che sembrava solo un altro aggiornamento software è diventato il fulcro di una campagna di spionaggio informatico ad alto rischio, che ha intrappolato vittime dall’Ucraina al Sud-est asiatico e oltre.

Anatomia dell’Attacco

Al centro di questa ondata informatica c’è CVE-2025-6218, una vulnerabilità di path traversal nelle versioni Windows di WinRAR. Questa falla consente agli aggressori di creare file di archivio malevoli che, una volta aperti, possono depositare silenziosamente malware in posizioni sensibili del computer della vittima - come la cartella di Avvio di Windows. Il risultato: al prossimo riavvio del sistema, il codice dell’attaccante prende vita, spesso senza essere rilevato.

Gli attori delle minacce non hanno perso tempo nell’armare questo bug. Gli analisti di sicurezza russi hanno individuato per primi il gruppo noto come GOFFEE (alias Paper Werewolf) mentre sfruttava sia CVE-2025-6218 che la sua gemella, CVE-2025-8088, in una raffica di attacchi di phishing. Nel frattempo, il gruppo Bitter APT, attivo nel Sud-est asiatico, ha orchestrato attacchi utilizzando archivi RAR contenenti sia documenti Word apparentemente innocui sia template macro malevoli nascosti. Sostituendo il file template globale di Microsoft Word (Normal.dotm), gli aggressori si sono assicurati che la loro backdoor si attivasse ogni volta che Word veniva aperto, eludendo furtivamente le difese macro tradizionali.

Forse ancora più allarmante, il famigerato gruppo russo Gamaredon ha sfruttato CVE-2025-6218 in campagne di phishing mirate contro entità militari e governative ucraine. Il loro obiettivo: distribuire il malware Pteranodon per attività di spionaggio - e, con una nuova svolta, condurre attacchi distruttivi di tipo “wiper”, segnando un’escalation rispetto alle loro abituali tattiche di spionaggio. Gli esperti di sicurezza avvertono che non si tratta di criminalità informatica casuale, ma di sabotaggio coordinato e sostenuto da stati.

Risposta Globale e Urgenza

RARLAB, lo sviluppatore di WinRAR, si è mosso rapidamente per correggere la vulnerabilità a giugno 2025. Tuttavia, come la storia insegna, la finestra tra il rilascio della patch e la sua adozione diffusa rappresenta un’ora d’oro per gli aggressori. CISA ha imposto a tutte le agenzie federali civili degli Stati Uniti di applicare l’aggiornamento entro il 30 dicembre 2025, ma innumerevoli sistemi restano esposti in tutto il mondo.

Per ora, il messaggio è chiaro: aggiornate immediatamente WinRAR e controllate con attenzione ogni allegato email inaspettato - il prossimo clic potrebbe aprire la porta a molto più che semplici file.

Glossario (WIKICROOK)

Path Traversal
Un tipo di vulnerabilità che permette agli aggressori di accedere a file e cartelle al di fuori della directory prevista, potenzialmente portando all’esecuzione di codice o al furto di dati.
Phishing
Tecnica di ingegneria sociale in cui gli aggressori ingannano le vittime inducendole ad aprire file o link malevoli, spesso tramite email, per compromettere i loro sistemi.
Backdoor
Un metodo nascosto per bypassare l’autenticazione normale e ottenere accesso persistente e non autorizzato a un sistema compromesso.
Command-and-Control (C2)
Un server o infrastruttura utilizzata dagli aggressori per controllare da remoto dispositivi infetti ed esfiltrare dati.
Wiper
Malware progettato per cancellare o distruggere in modo irreversibile i dati su un dispositivo della vittima, spesso usato per sabotaggio piuttosto che per spionaggio.