Hai chiến dịch tấn công mạng thân Nga đã liên tục khai thác một lỗ hổng bảo mật trong WinRAR để nhắm mục tiêu vào các tổ chức Ukraine, gần một năm sau khi các bản vá cho lỗ hổng này được phát hành.
Hoạt động này đã được Trend Micro quy kết cho các nhóm Earth Dahu (còn gọi là Gamaredon) và SHADOW-EARTH-066 (còn gọi là UAC-0226). Các cuộc tấn công liên quan đến việc khai thác CVE-2025-8088, một lỗ hổng path traversal cho phép kẻ tấn công ghi các tệp tin bên ngoài thư mục giải nén thông qua NTFS Alternate Data Streams (ADS). Lỗ hổng này đã được WinRAR vá vào tháng 7 năm 2025.
Các phát hiện cho thấy "cách mà phần mềm không được quản lý khiến một điểm xâm nhập đã bị khai thác vẫn tiếp tục mở ra rất lâu sau khi bản sửa lỗi được tung ra," các nhà nghiên cứu Hiroyuki Kakara và Feike Hacquebord của Trend Micro cho biết trong một phân tích được công bố vào thứ Hai.
Chuỗi khai thác WinRAR được SHADOW-EARTH-066 sử dụng là một sự thay đổi so với các trình thả mã độc Excel macro trước đây mà nhóm này dùng để phát tán một loại phần mềm đánh cắp thông tin có tên là GIFTEDCROOK. Phiên bản mới nhất sử dụng các tệp lưu trữ RAR được tạo thủ công, bao gồm một tài liệu PDF giả mạo và ba payload ADS ẩn nằm ngoài thư mục giải nén để bắt đầu quá trình lây nhiễm.
Quá trình này bao gồm một tệp Windows Shortcut (LNK) được đặt trong thư mục Startup để nó tự động thực thi mỗi khi người dùng đăng nhập. Điều này, đến lượt nó, sẽ kích hoạt một trình tải PowerShell thông qua "cmd.exe", sau đó sử dụng kỹ thuật nạp DLL trực tiếp trong bộ nhớ để cuối cùng khởi chạy phiên bản cập nhật của GIFTEDCROOK ("result.dll").
Mã độc này nhắm mục tiêu vào mật khẩu và cookie từ các trình duyệt dựa trên Chromium (Google Chrome, Microsoft Edge và Opera) và Mozilla Firefox, ngoài ra nó còn thu thập các tài liệu khớp với một số định dạng nhất định từ máy của nạn nhân. Sau khi dữ liệu được chuyển ra máy chủ bên ngoài, tất cả các dấu vết độc hại sẽ bị xóa để che đậy quá trình điều tra dấu vết số.
Một thay đổi đáng chú ý là sự chuyển dịch từ Telegram như một kênh trích xuất dữ liệu sang các máy chủ command-and-control (C2) chuyên dụng, một sửa đổi quan trọng có khả năng phù hợp với việc Nga chặn nền tảng nhắn tin này vào đầu tháng 2 vừa qua.
Earth Dahu và các chiến dịch gián điệp quy mô lớn
Nhóm hacker thứ hai thân Nga vũ khí hóa CVE-2025-8088 là Earth Dahu, nhóm đã đưa lỗ hổng này vào kho vũ khí của mình từ ít nhất là tháng 9 năm 2025. Đối thủ này nổi tiếng với "nỗ lực quy mô công nghiệp" nhằm duy trì quyền truy cập lâu dài vào các tổ chức bị xâm nhập.
"Earth Dahu đã sử dụng lỗ hổng này với chuỗi lây nhiễm HTA-to-VBScript để phân phối các mô-đun gián điệp," Trend Micro lưu ý. "Dựa trên dấu thời gian tệp nội bộ của RAR và quy ước đặt tên tệp, chuỗi này vẫn hoạt động cho đến ít nhất là ngày 10 tháng 4 năm 2026."
Các cuộc tấn công này, cũng đã được Sekoia ghi nhận vào tuần trước, dẫn đến việc triển khai GammaPhish, một HTML Application (HTA), sau đó được sử dụng để tải về một trình tải VBScript có tên GammaLoad. Trình tải trung gian này sau đó sẽ phân phối các mô-đun bổ sung như GammaSteel.
GammaLoad là "một tập hợp các VBScript được thiết kế để đảm bảo quyền truy cập liên tục và triển khai các payload theo thời gian bằng cách tận dụng Dead Drop Resolvers (DDR)," Sekoia cho biết, đồng thời nói thêm rằng nó được sử dụng để triển khai một trình thả mã độc nhằm khởi chạy trình tải VBScript chịu trách nhiệm thực thi GammaSteel, một phần mềm đánh cắp thông tin toàn diện có thể giám sát các thay đổi đối với tệp theo thời gian thực.
"WinRAR được tích hợp sâu vào các hoạt động hàng ngày của các tổ chức Ukraine, khiến nó trở thành mục tiêu hấp dẫn để khai thác," Trend Micro cho biết. "Sự hội tụ của cả các nhóm được nhà nước hậu thuẫn lâu đời và các cụm tấn công độc lập trên một lỗ hổng duy nhất phản ánh quy mô của các mối đe dọa mạng mà Ukraine đang phải đối mặt."