Nem toda ameaça precisa de um vírus clássico. Às vezes, tudo que um invasor precisa é de um simples arquivo RAR. E é exatamente isso que o grupo de ciberespionagem Paper Werewolf está fazendo: usando arquivos aparentemente legítimos para enganar sistemas e invadir redes com um ataque que envolve uma falha zero-day no WinRAR sim, aquele velho conhecido que você provavelmente ainda tem instalado.
O que está acontecendo?
Desde o início de julho de 2025, campanhas de phishing estão utilizando arquivos .rar como vetor de ataque, explorando duas falhas uma já conhecida (CVE-2025-6218) e outra até então inédita, corrigida apenas na versão 7.13 do WinRAR.
Esses ataques começam com e-mails bem montados, enviados de contas comprometidas. Um dos exemplos mais notáveis fingia ser do Instituto de Pesquisa da Rússia, usando um domínio real de fornecedor de móveis (sério), com um anexo chamado minprom_04072025.rar. Ao extrair o arquivo, o malware era discretamente plantado no diretório de inicialização do Windows, garantindo execução automática no próximo login.
E se isso parece familiar, a nova variante vai além.
A falha zero-day
A nova vulnerabilidade explorada e agora corrigida permite que arquivos RAR abusem de alternative data streams (ADS) para escrever arquivos diretamente em diretórios críticos do sistema, mesmo com extração “normal”.
Em julho de 2025, um dos arquivos maliciosos (Запрос_Минпромторг_22.07.rar) entregava um loader chamado WinRunApp.exe, desenvolvido em .NET. Esse loader baixava um segundo estágio direto da internet e o executava diretamente na memória, evitando qualquer vestígio no disco.
E os detalhes são dignos de um filme de espionagem:
- O código evita execuções simultâneas com mutex
- Identifica o host e o usuário da máquina
- Usa User-Agents customizados para parecer tráfego comum
- Mantém comunicação com servidores como
indoorvisions.org - Alterna domínios e caminhos conforme a campanha evolui
E claro, tudo isso com PDF falsos e documentos Word disfarçados como comunicados oficiais para camuflar o ataque.
O que chama atenção
Apesar da sofisticação técnica, o grupo ainda depende de técnicas que são, em grande parte, detectáveis como pixels de rastreamento embutidos em e-mails e padrões de extração suspeita que podem ser monitorados com as ferramentas certas.
Outro ponto interessante: um post em fórum clandestino oferecia uma exploração de zero-day do WinRAR por US$ 80 mil. Coincidência? Pouco provável. Tudo indica que o Paper Werewolf comprou, adaptou e aplicou esse exploit em sua campanha.
O que fazer agora?
Se você ainda usa uma versão anterior à 7.13 do WinRAR, está brincando com fogo. Atualize agora.
Mais do que isso, revise como sua empresa lida com arquivos compactados, especialmente aqueles que chegam por e-mail. Soluções de segurança com análise de comportamento, monitoramento de diretórios incomuns e alerta para comunicações com domínios suspeitos são indispensáveis.
O ataque do Paper Werewolf mostra como ferramentas do dia a dia, como um simples descompactador, podem se transformar na porta de entrada para infecções complexas, especialmente quando exploradas por grupos com foco em espionagem.
