Mesmo anos após sua identificação, a falha no WinRAR conhecida como CVE-2025-8088 continua sendo explorada por grupos de APT e cibercriminosos em todo o mundo. Segundo o Google Threat Intelligence Group, a vulnerabilidade permite ataques sofisticados que podem comprometer sistemas corporativos e pessoais, especialmente quando o software não está atualizado. Usuários de Windows e administradores que operam em ambientes Linux mistos devem redobrar a atenção, pois a falha é facilmente manipulável e frequentemente usada como porta de entrada para malware avançado.
O que é a CVE-2025-8088 e como o ataque funciona
A CVE-2025-8088 é uma falha de travessia de diretório no WinRAR que permite que arquivos comprimidos escapem da pasta de destino definida durante a extração. Essa técnica é combinada com Fluxos de Dados Alternativos (ADS) em sistemas NTFS, que escondem scripts maliciosos dentro de arquivos aparentemente inofensivos.
O ataque funciona assim: o usuário recebe um arquivo RAR via e-mail ou download suspeito. Ao extrair o conteúdo em uma pasta padrão, o malware escondido nos ADS ou com caminhos manipulados é instalado silenciosamente em diretórios críticos do sistema. Em ambientes Linux, o risco persiste em situações de dual boot ou ao usar WinRAR via Wine, pois scripts e binários podem ser transferidos entre sistemas e executados quando o Windows é inicializado.
Além disso, a falha permite escalonamento de privilégios, o que significa que um invasor pode obter acesso administrativo, coletar credenciais ou instalar backdoors persistentes sem interação adicional do usuário.
Grupos de elite e espionagem estatal
Relatórios recentes indicam que grupos como RomCom, APT44 e agentes chineses vêm usando a CVE-2025-8088 em campanhas de espionagem. Essas operações têm objetivos estratégicos, como coleta de propriedade intelectual, monitoramento de dissidentes e infiltração em cadeias de suprimentos.
O APT44, por exemplo, tem histórico de campanhas direcionadas a governos e empresas de tecnologia, usando o WinRAR para criar vetores de ataque praticamente indetectáveis. O RomCom, por sua vez, explora a falha em empresas de médio porte para instalar malwares de mineração e roubo de dados. A persistência desses ataques mostra como uma falha antiga pode continuar sendo uma ferramenta poderosa em operações de espionagem digital.
O mercado negro de exploits
Além do uso por APTs, a CVE-2025-8088 está presente no mercado negro de exploits, sendo vendida por grupos conhecidos como “zeroplayer”. Ferramentas e kits de exploração padronizados tornam a falha acessível a cibercriminosos menos técnicos, o que contribui para a comoditização do cibercrime.
Hoje, um atacante iniciante pode comprar scripts prontos para criar malware escondido em arquivos RAR, com dashboards que permitem monitorar a execução do ataque. Isso aumenta drasticamente o risco para empresas e usuários domésticos, tornando a atualização do WinRAR e a conscientização sobre anexos suspeitos uma prioridade absoluta.
Como se proteger e mitigar riscos
A melhor forma de mitigar a falha no WinRAR é manter o software sempre atualizado. A versão mais recente corrige a travessia de diretório e melhora a detecção de ADS maliciosos. Em ambientes Linux, evite extrair arquivos RAR com ferramentas que não verificam caminhos relativos ou utilize alternativas open source como 7-Zip ou PeaZip, que oferecem maior transparência e controles de segurança.
Outras recomendações incluem:
- Não abrir anexos de e-mails ou links suspeitos, mesmo de remetentes conhecidos;
- Configurar sistemas com privilégios mínimos, limitando o impacto caso um ataque ocorra;
- Monitorar logs e processos suspeitos, especialmente em servidores mistos Windows/Linux;
- Usar soluções de antivírus e EDR que detectem comportamento de exploração de ADS e scripts maliciosos.
Conclusão e impacto
A persistência da CVE-2025-8088 demonstra que falhas antigas podem continuar sendo uma ameaça relevante se não houver manutenção constante. O WinRAR desatualizado é um risco crítico tanto para usuários domésticos quanto para ambientes corporativos e governamentais. Administradores de sistemas e entusiastas de Linux devem verificar imediatamente a versão instalada, aplicar atualizações e considerar alternativas mais seguras quando possível. A conscientização e a prevenção são as únicas formas de reduzir a superfície de ataque contra um vetor que continua ativo em 2026.