Twee aan Rusland verbonden cyberaanvalcampagnes zijn doorgegaan met het misbruiken van een beveiligingsfout in WinRAR om Oekraïense organisaties aan te vallen, bijna een jaar nadat patches voor de kwetsbaarheid waren uitgebracht.
De activiteit is door Trend Micro toegeschreven aan Earth Dahu (ook bekend als Gamaredon) en SHADOW-EARTH-066 (ook bekend als UAC-0226). Het betreft de exploitatie van CVE-2025-8088, een fout bij het doorlopen van paden waardoor een aanvaller bestanden buiten de extractiemap kan schrijven via NTFS Alternate Data Streams (ADS). Het werd in juli 2025 door WinRAR gepatcht.
De bevindingen laten zien “hoe onbeheerde software een geëxploiteerd toegangspunt open houdt lang nadat de oplossing is verzonden”, aldus Trend Micro-onderzoekers Hiroyuki Kakara en Feike Hacquebord in een analyse die maandag is gepubliceerd.
De WinRAR-exploitketen die door SHADOW-EARTH-066 wordt uitgebuit, wijkt af van Excel-macro-droppers die eerder door de bedreigingsacteur werden gebruikt om een informatiedief te leveren genaamd GIFTEDCROOK. De nieuwste versie maakt gebruik van vervaardigde RAR-archieven met een lok-PDF-document en drie verborgen ADS-payloads die zich buiten de extractiemap bevinden om de infectie te initiëren.
Dit omvat een Windows Shortcut (LNK)-bestand dat in de map Opstarten wordt geplaatst, zodat het automatisch wordt uitgevoerd elke keer dat een gebruiker zich aanmeldt. Dit genereert op zijn beurt een PowerShell-lader via “cmd.exe”, die vervolgens het laden van DLL in het geheugen gebruikt om uiteindelijk een bijgewerkte versie van GIFTEDCROOK (“result.dll”) te starten.
De malware richt zich op wachtwoorden en cookies van Chromium-gebaseerde browsers (Google Chrome, Microsoft Edge en Opera) en Mozilla Firefox, naast het verzamelen van documenten die overeenkomen met bepaalde extensies van de machine van het slachtoffer. Zodra de gegevens naar een externe server zijn geëxfiltreerd, worden alle kwaadaardige artefacten verwijderd om het forensische spoor te verdoezelen.
Een opmerkelijke verandering is de verschuiving van Telegram als exfiltratiekanaal naar speciale command-and-control (C2)-servers, een belangrijke wijziging die waarschijnlijk aansluit bij de Russische blokkering van het berichtenplatform in het land eerder deze februari.
De tweede aan Rusland gelieerde hackgroep die CVE-2025-8088 als wapen inzet is Earth Dahu, die de fout in ieder geval sinds september 2025 in zijn arsenaal heeft opgenomen. De tegenstander staat bekend om zijn “inspanningen op industriële schaal” om op de lange termijn toegang te behouden tot gecompromitteerde organisaties.
“Earth Dahu gebruikte de kwetsbaarheid met een HTA-naar-VBScript-infectieketen die spionagemodules opleverde”, merkte Trend Micro op. “Gebaseerd op de interne tijdstempels van RAR-bestanden en de naamgevingsconventies voor bestanden, bleef de keten actief tot ten minste 10 april 2026.”
Deze aanvallen, zoals onlangs ook gedocumenteerd door Sekoia vorige week, leiden tot de inzet van GammaPhish, een HTML-applicatie (HTA), die vervolgens wordt gebruikt om een VBScript-downloader met de naam GammaLoad op te halen. De tussenliggende downloader levert vervolgens aanvullende modules zoals GammaSteel.
GammaLoad is “een verzameling VBScripts die is ontworpen om continue toegang te garanderen en payloads in de loop van de tijd te implementeren door gebruik te maken van Dead Drop Resolvers (DDR)”, zei Sekoia, eraan toevoegend dat het wordt gebruikt om een dropper in te zetten die is ontworpen om een VBScript-lader te starten die verantwoordelijk is voor het uitvoeren van GammaSteel, een uitgebreide informatie-diefstal die wijzigingen in bestanden in realtime kan volgen.
“WinRAR is diep verankerd in de dagelijkse activiteiten van Oekraïense organisaties, waardoor het een aantrekkelijk doelwit is voor exploitatie”, aldus Trend Micro. “De convergentie van zowel gevestigde door de staat gesteunde groepen als onafhankelijk gevolgde clusters op één enkele kwetsbaarheid weerspiegelt de omvang van de cyberdreigingen waarmee Oekraïne wordt geconfronteerd.”
