CVE-2025-8088: analisi della vulnerabilità zero-day di WinRAR

Analisi di CVE-2025-8088, vulnerabilità zero-day di WinRAR con punteggio CVSS 8.8. Scopri attacchi osservati, impatto e misure di difesa.

Le vulnerabilità informatiche rappresentano uno dei metodi più utilizzati per compromettere dispositivi e infrastrutture digitali. Il rischio aumenta ulteriormente quando tali falle riguardano software di uso quotidiano, diffuso tanto tra utenti privati quanto in ambito aziendale. È questo il caso di CVE-2025-8088, una vulnerabilità zero-day individuata all’interno del software di archiviazione file WinRAR. La falla, classificata con un punteggio CVSS 8.8, è stata sfruttata da diversi attori malevoli per distribuire malware su larga scala.

Origini di CVE 2025-8088
Chi ha sfruttato la vulnerabilità
Conseguenze per aziende e imprese
Prevenzione e difesa

In questo articolo vedremo le principali caratteristiche tecniche di CVE-2025-8088, in che modo è stato utilizzato e l’impatto che ha avuto a livello internazionale. Inoltre, analizzeremo alcune linee guida da seguire per prevenire questo tipo di minaccia.

Origini di CVE-2025-8088

La vulnerabilità è stata scoperta il 18 luglio 2025 dai ricercatori di ESET. Essa si basa su una tecnica nota come path traversal, che consente di spostare un file compresso al di fuori della sua cartella di destinazione prevista ed estrarlo in directory differenti. In questo modo, un archivio RAR malevolo può collocare componenti dannosi in aree sensibili del sistema, aprendo la strada all’esecuzione di codice arbitrario.

Gli archivi RAR malevoli che sfruttano CVE-2025-8088 contengono due componenti chiave:

Un file .LNK che viene estratto nella cartella di avvio automatico di Windows.
Un file .DLL o .EXE collocato in directory comuni come %TEMP% o %LOCALAPPDATA%.

Al riavvio del sistema, il collegamento .LNK richiama il payload nascosto, avviandone l’esecuzione senza ulteriori interazioni da parte dell’utente. Sono state osservate tre varianti della catena di infezione:

il file .LNK lancia direttamente l’eseguibile malevolo;
Il file .LNK carica una DLL come intemediario;
nei casi più complessi vengono introdotti dei loader aggiuntivi per mascherare ulteriormente l’attività.

L’obiettivo finale, tuttavia, rimane sempre lo stesso: garantire persistenza e ottenere controllo completo sul dispositivo compromesso. Secondo quanto riportato da BI.ZONE, società russa di cybersecurity, l’exploit è stato messo in vendita per circa 80.000 dollari sul dark web da parte di un attore noto come zeroplayer.

Chi ha sfruttato la vulnerabilità

Gli attacchi legati a CVE-2025-8088 hanno coinvolto diversi attori malevoli, ma due gruppi spiccano per intensità e modalità di sfruttamento: RomCom e Paper Werewolf.

Gli attacchi eseguiti da RomCom

RomCom è una cybergang nota per l’impiego di vulnerabilità zero-day contro aziende ed enti governativi in Europa e Nord America. In questo caso, il gruppo ha condotto campagne di spear-phishing mascherate da candidature di lavoro, con l’obiettivo di infettare il maggior numero possibile di dispositivi sfruttando la falla di WinRAR.

Gli attaccanti hanno diffuso archivi RAR contenenti un file denominato msedge.dll. Il nome richiamava una libreria legittima di Microsoft Edge, ma in realtà era un payload malevolo utilizzato come loader per avviare la catena d’infezione. Per aumentarne l’efficacia, RomCom ha sfruttato gli Alternate Data Streams (ADS), flussi nascosti del file system NTFS che permettono di contenere dati aggiuntivi non visibili all’utente.

Al riavvio del sistema, il collegamento .LNK collocato in Startup richiamava il payload, che a seconda del caso caricava una delle tre varianti osservate:

Mythic Agent: Il collegamento .LNK installa e attiva un agente del framework Mythic, piattaforma di post-exploitation usata per spionaggio e controllo remoto.
SnipBot: il file .LNK consente l’installazione di una backdoor già nota nelle campagne di RomCom, capace di garantire accesso persistente, esfiltrazione dei dati e controllo continuativo del sistema.
MeltingClaw: agisce come initial access vector o downloader, predisponendo il sistema a ulteriori compromissioni.

Attraverso queste catene di infezione, RomCom otteneva persistenza sul dispositivo e la possibilità di installare backdoor per il suo controllo remoto.

Gli attacchi eseguiti da Paper Werewolf

Il gruppo Paper Werewolf, noto anche come GOFFEE, ha sfruttato CVE-2025-8088 in campagne di phishing, combinandola con un’altra vulnerabilità di WinRAR: CVE-2025-6218, presente fino alla versione 7.12. I cybercriminali distribuivano archivi RAR manipolati che permettevano di scrivere file al di fuori della cartella di destinazione ed eseguire codice arbitrario.

Per ridurre i sospetti, ogni archivio apriva un documento esca, mentre in background veniva installato un malware. In questo caso, il payload principale era un loader .NET che raccoglieva informazioni sul sistema e instaurava una reverse shell per comunicare con il server di comando (C2) e scaricare ulteriori componenti.

Conseguenze per aziende e imprese

Le campagne osservate tra il 18 e il 21 luglio 2025 hanno dimostrato la gravità di CVE-2025-8088, in grado di trasformare un semplice archivio RAR in un vettore di infezione. Le indagini di ESET hanno rilevato tentativi di compromissione da parte di RomCom ai danni di aziende in Europa e Canada e appartenenti ai seguenti settori:

Finanziario;
Manifatturiero;
Difesa e logistica.

Le analisi di BI.ZONE hanno invece documentato attacchi analoghi condotti in Russia da Paper Werewolf. In entrambi i casi, la vulnerabilità ha consentito di scrivere file al di fuori della cartella di destinazione ed eseguire codice arbitrario, facilitando l’installazione di backdoor e strumenti di post-exploitation.

Sebbene le telemetrie di ESET non riportino compromissioni riuscite, il punteggio CVSS di 8.8 su 10 e lo sfruttamento attivo della falla, dimostrano come la minaccia abbia avuto un impatto significativo sul panorama della sicurezza, esponendo migliaia di utenti privati e organizzazioni al rischio di intrusione.

Prevenzione e difesa

Alla luce di quanto emerso, diventa fondamentale adottare buone pratiche di sicurezza per rafforzare la resilienza delle organizzazioni contro questo tipo di minacce. In particolare le linee guida che bisogna seguire sono:

Aggiornare tempestivamente WinRAR.
È necessario installare subito la versione 7.13 o successive di WinRAR, poiché il software non si aggiorna automaticamente e il rischio rimane elevato per chi usa versioni obsolete.
Mantenere i propri software e sistemi regolarmente aggiornati.
Gli aggiornamenti includono patch di sicurezza che vanno a correggere vulnerabilità note presenti all’interno dei programmi.
Utilizzare soluzioni di sicurezza avanzate.
Sistemi EDR e programmi antivirus sofisiticati sono in grado di intercettare comportamenti anomali durante il download l’estrazione di file potenzialmente sospetti.
Diffidare da archivi RAR o altri file sospetti.
È importante prestare particolare attenzione ai file ricevuti via email o da altri canali di comunicazione, soprattutto se mascherati da documenti di lavoro o fatture di pagamento.

Autore articolo
Gli ultimi articoli

Roberto Caprara

Classe 1998, laureato in Informatica e Comunicazione Digitale, appassionato di informatica e scrittura. Scrivere per questo blog rappresenta per me un’occasione per divulgare la cultura della cybersecurity, oggi più che mai indispensabile. Scrivo di minacce informatiche, social engineering e digital awareness, impegnandomi attivamente a trasformare scenari complessi in contenuti accessibili per i nostri utenti.

Cookie	Durata	Descrizione
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.