Кибершпионы Paper Werewolf используют для атак уязвимости в WinRAR

Этим архиватором пользуются почти 80% российских компаний и практически все сотрудники, чьи корпоративные устройства работают на Windows

8 августа 2025 г.

В июле — начале августа 2025 года шпионская кибергруппировка Paper Werewolf атаковала несколько организаций из России и Узбекистана. К фишинговым письмам прилагались RAR‑архивы якобы с важными документами, а на самом деле — с вредоносным ПО. Злоумышленники воспользовались двумя уязвимостями в WinRAR, которые позволяли при распаковке архива устанавливать ВПО на скомпрометированное устройство незаметно для жертвы.

Ориентированные на шпионаж группировки продолжают экспериментировать с методами и инструментами, в том числе пополняют свой арсенал новыми уязвимостями. Используя RAR‑архивы, атакующие преследовали сразу две цели: не только эксплуатировали уязвимости в WinRAR для установки ВПО, но и увеличивали шансы на то, что фишинговое письмо преодолеет фильтры в электронной почте, ведь такие вложения в деловой переписке — обычное дело.

Олег Скулкин

Руководитель BI.ZONE Threat Intelligence

Одной из целей Paper Werewolf стал российский производитель спецоборудования. Атакующие отправили письмо от лица крупного научно-исследовательского института, причем воспользовались для этого скомпрометированным почтовым адресом другой реально существующей компании — производителя мебели. В приложенном к письму RAR‑архиве были «документы из министерства», а также исполняемый файл XPS Viewer. Это легитимная программа, но атакующие модифицировали ее исполняемый файл, добавив внутрь вредоносный код. Он давал им возможность удаленно выполнять команды и управлять скомпрометированным устройством.

Для атаки на производителя оборудования Paper Werewolf воспользовалась уязвимостью CVE‑2025‑6218, которая затрагивает версии WinRAR до 7.11 включительно. В более поздних атаках, нацеленных на компании из России и Узбекистана, злоумышленники сделали ставку на новую, не описанную на тот момент уязвимость нулевого дня, которая затрагивает также версию WinRAR 7.12. Примечательно, что незадолго до этих атак на одном из теневых форумов появилось объявление о продаже якобы рабочего эксплоита, предположительно, для этой уязвимости. Продавец запрашивал за него 80 тысяч долларов.

По данным BI.ZONE TDR, 79% российских компаний используют WinRAR в своих рабочих процессах, а доля рабочих устройств на Windows, где установлен этот архиватор, приближается к 100%. Ранее представитель WinRAR сообщал, что в месяц компания продает около 10 тысяч лицензий на архиватор. Это делает WinRAR одной из самых популярных программ как у обычных пользователей, так и в корпоративном сегменте.

Специалисты BI.ZONE Threat Intelligence ранее подсчитали, что 36% всех кибератак на Россию с начала 2025 года совершались с целью шпионажа.