
Кибершпионы Paper Werewolf используют для атак уязвимости в WinRAR
В июле — начале августа 2025 года шпионская кибергруппировка Paper Werewolf атаковала несколько организаций из России и Узбекистана. К фишинговым письмам прилагались RAR‑архивы якобы с важными документами, а на самом деле — с вредоносным ПО. Злоумышленники воспользовались двумя уязвимостями в WinRAR, которые позволяли при распаковке архива устанавливать ВПО на скомпрометированное устройство незаметно для жертвы.
Одной из целей Paper Werewolf стал российский производитель спецоборудования. Атакующие отправили письмо от лица крупного научно-исследовательского института, причем воспользовались для этого скомпрометированным почтовым адресом другой реально существующей компании — производителя мебели. В приложенном к письму RAR‑архиве были «документы из министерства», а также исполняемый файл XPS Viewer. Это легитимная программа, но атакующие модифицировали ее исполняемый файл, добавив внутрь вредоносный код. Он давал им возможность удаленно выполнять команды и управлять скомпрометированным устройством.
Для атаки на производителя оборудования Paper Werewolf воспользовалась уязвимостью CVE‑2025‑6218, которая затрагивает версии WinRAR до 7.11 включительно. В более поздних атаках, нацеленных на компании из России и Узбекистана, злоумышленники сделали ставку на новую, не описанную на тот момент уязвимость нулевого дня, которая затрагивает также версию WinRAR 7.12. Примечательно, что незадолго до этих атак на одном из теневых форумов появилось объявление о продаже якобы рабочего эксплоита, предположительно, для этой уязвимости. Продавец запрашивал за него 80 тысяч долларов.
По данным BI.ZONE TDR, 79% российских компаний используют WinRAR в своих рабочих процессах, а доля рабочих устройств на Windows, где установлен этот архиватор, приближается к 100%. Ранее представитель WinRAR сообщал, что в месяц компания продает около 10 тысяч лицензий на архиватор. Это делает WinRAR одной из самых популярных программ как у обычных пользователей, так и в корпоративном сегменте.
Специалисты BI.ZONE Threat Intelligence ранее подсчитали, что 36% всех кибератак на Россию с начала 2025 года совершались с целью шпионажа.