Hack Alerta

APT-C-08 explora falha do WinRAR (CVE-2025-6218) em campanhas contra governos

Por Redação Hack Alerta Publicado em 12/11/2025 12:02 Cyber ataques Tempo de leitura: 2 min

O grupo APT‑C‑08 explorou CVE‑2025‑6218 (WinRAR ≤7.11) para plantar um Normal.dotm malicioso que executa macros e lança um binário remoto; atualize WinRAR, desative macros e aplique allowlisting.

Pesquisadores detectaram o uso operacional de CVE-2025-6218 por APT-C-08 (também conhecido como Manlinghua/BITTER) em campanhas direcionadas a organizações governamentais no Sul da Ásia; a exploração usa arquivos RAR especialmente construídos para escapar da normalização de caminhos do WinRAR.

Descoberta e escopo

Analistas identificaram amostras onde arquivos RAR armadilhados depositam um template malicioso (Normal.dotm) no diretório de templates do Windows (C:\Users\[username]\AppData\Roaming\Microsoft\Templates) ao serem extraídos. A campanha mira agências governamentais, instituições acadêmicas e entidades do complexo industrial-militar na região.

Vetor e cadeia de ataque

CVE-2025-6218 é uma vulnerabilidade de directory traversal que afeta WinRAR 7.11 e versões anteriores. O exploit usa caminhos especialmente formatados com espaços após sequências de traversal para contornar a normalização do WinRAR. Ao extrair, o arquivo planta Normal.dotm malicioso que dispara macros no próximo uso do Word.

O Normal.dotm identificado (MD5: 4bedd8e2b66cc7d64b293493ef5b8942) executa macros que mapeiam unidades remotas com net use e, em seguida, executam um binário remoto (winnsc.exe), estabelecendo execução de comandos e persistência.

Impacto e recomendações

A operação é preocupante por combinar uma vulnerabilidade de extração com persistência via template do Word, um mecanismo que garante que a execução ocorra com a simples abertura de qualquer documento pelo usuário. A exploração tem baixo grau de complexidade para o atacante e alta probabilidade de sucesso em ambientes onde o WinRAR não está atualizado.

Recomendações imediatas:

  • Atualizar todas as instalações de WinRAR para versões superiores a 7.11;
  • implementar application allowlisting para evitar execução de binários não aprovados (como winnsc.exe);
  • desabilitar execução automática de macros e aplicar políticas de template restritivas;
  • caçar indicadores como extrações de arquivos RAR incomuns e a presença do MD5 citado em repositórios internos;
  • priorizar correção em ambientes que manipulam dados sensíveis governamentais.

Limites das informações

As fontes descrevem a progressão técnica e alvos regionais. Não há, nas divulgações consultadas, atribuição política formal além da identificação do grupo APT-C-08 e amostras técnicas; medidas de mitigação e os hashes fornecidos são os elementos acionáveis para operações de defesa.

Fonte: Cyber Security News.

Baseado em publicação original de Cyber Security News
Tags: #winrar #apt-c-08 #cve-2025-6218 #macros #normal-dotm #persistence #governo #seguranca #patch
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.
← Voltar