Twee door Rusland gesteunde cyberaanvalcampagnes maken nog steeds gebruik van een beveiligingslek in WinRAR om Oekraïense organisaties te treffen, bijna een jaar nadat er patches voor deze kwetsbaarheid zijn uitgebracht. Trend Micro wijst deze activiteiten toe aan de groepen Earth Dahu (ook bekend als Gamaredon) en SHADOW-EARTH-066 (ook bekend als UAC-0226). De aanvallen maken gebruik van CVE-2025-8088, een path traversal-kwetsbaarheid die het mogelijk maakt om bestanden buiten de extractiemap te plaatsen via NTFS Alternate Data Streams (ADS). WinRAR bracht in juli 2025 een patch uit om dit lek te dichten, maar de kwetsbaarheid wordt nog steeds actief misbruikt aldus Trend Micro.

De exploitatie door SHADOW-EARTH-066 wijkt af van eerdere methoden waarbij Excel-macro’s werden gebruikt om de informatieverzamelaar GIFTEDCROOK te verspreiden. Nu worden speciaal vervaardigde RAR-archieven ingezet met een lokkend PDF-document en drie verborgen ADS-payloads buiten de extractiemap. Een Windows-snelkoppeling (LNK-bestand) wordt in de opstartmap geplaatst, zodat deze bij elke gebruikersaanmelding automatisch wordt uitgevoerd. Dit start een PowerShell-loader via cmd.exe, die met in-memory DLL-loading een bijgewerkte versie van GIFTEDCROOK activeert. De malware richt zich op het stelen van wachtwoorden en cookies uit Chromium-gebaseerde browsers zoals Google Chrome, Microsoft Edge en Opera, evenals Mozilla Firefox. Daarnaast worden documenten met bepaalde extensies verzameld en naar een externe server gestuurd. Na exfiltratie worden alle kwaadaardige bestanden verwijderd om sporen te wissen. Opvallend is de overstap van Telegram als exfiltratiekanaal naar dedicated command-and-control servers, vermoedelijk vanwege de blokkade van Telegram in Rusland eerder dit jaar.

De tweede groep, Earth Dahu, gebruikt de kwetsbaarheid sinds september 2025 en staat bekend om haar grootschalige inspanningen om langdurige toegang tot doelwitten te behouden. Deze groep zet een infectieketen in van HTA naar VBScript om spionagemodules te installeren. Volgens Trend Micro bleef deze keten actief tot minstens 10 april 2026. De aanvallen leiden tot de inzet van GammaPhish, een HTML Application (HTA), die een VBScript-downloader GammaLoad ophaalt. GammaLoad zorgt voor de continue toegang en het uitrollen van payloads zoals GammaSteel, een uitgebreide informatieverzamelaar die realtime wijzigingen in bestanden monitort volgens Sekoia.

WinRAR is diep geïntegreerd in de dagelijkse werkzaamheden van Oekraïense organisaties, wat het een aantrekkelijk doelwit maakt voor misbruik. De gelijktijdige exploitatie van deze kwetsbaarheid door zowel staatsgebonden als onafhankelijke groepen onderstreept de omvang van de cyberdreigingen waarmee Oekraïne wordt geconfronteerd, aldus Trend Micro.