Die internationale Spionagegruppe Paper Werewolf hat zwischen Juli und Anfang August 2025 eine Serie ausgeklügelter Cyberangriffe gegen russische und usbekische Organisationen durchgeführt. Die Angreifer kombinierten dabei raffinierte Social-Engineering-Techniken mit der Ausnutzung kritischer Sicherheitslücken im weit verbreiteten Archivierungsprogramm WinRAR.
Mehrstufiger Angriffsmechanismus durch Phishing und Malware
Laut einer detaillierten Analyse von BI.ZONE-Sicherheitsexperten entwickelten die Cyberkriminellen eine komplexe Infiltrationsstrategie für Unternehmensnetzwerke. Der initiale Angriffsvektor basierte auf Phishing-E-Mails mit schadhaften RAR-Archiven, die als wichtige Geschäftsdokumente getarnt wurden.
Besonders perfide gestaltete sich der Angriff auf einen russischen Hersteller von Spezialausrüstung. Die Angreifer versendeten eine zielgerichtete E-Mail, die scheinbar von einem renommierten Forschungsinstitut stammte. Dabei nutzten sie eine kompromittierte E-Mail-Adresse eines real existierenden Möbelunternehmens, wodurch das Vertrauen der Empfänger erheblich gesteigert wurde.
Technische Raffinesse: Manipulation legitimer Software
Die Sicherheitsforscher entdeckten in den schadhaften Archiven gefälschte „Ministeriumsdokumente“ sowie eine manipulierte Version des XPS Viewers – einer ursprünglich legitimen Microsoft-Anwendung. Die Cyberkriminellen integrierten bösartigen Code in die ausführbare Datei, der Remote-Zugriff auf kompromittierte Systeme ermöglichte und die Ausführung beliebiger Befehle gestattete.
Ausnutzung kritischer WinRAR-Vulnerabilitäten
Paper Werewolf setzte zwei unterschiedliche WinRAR-Sicherheitslücken ein, um automatisch Malware während des Entpackungsprozesses zu installieren. Beim Angriff auf den Ausrüstungshersteller kam die Schwachstelle CVE-2025-6218 zum Einsatz, die WinRAR-Versionen bis einschließlich 7.11 betrifft.
In nachfolgenden Attacken nutzte die Gruppe eine bisher unbekannte Zero-Day-Schwachstelle, die sogar WinRAR Version 7.12 angreifbar machte. Bemerkenswert ist, dass kurz vor diesen Vorfällen in einem Underground-Hackerforum ein Exploit für diese Vulnerability für 80.000 US-Dollar zum Verkauf angeboten wurde.
Bedrohungslage für die russische Wirtschaft
Statistische Erhebungen verdeutlichen die Brisanz der Situation: Nahezu 80 Prozent der russischen Unternehmen verwenden WinRAR, und praktisch alle Mitarbeiter mit Windows-Arbeitsplätzen nutzen regelmäßig dieses Archivierungstool. Diese weite Verbreitung macht WinRAR-Vulnerabilitäten zu einem besonders attraktiven Angriffsziel für Cyberkriminelle.
Weiterentwicklung von Spionage-Taktiken
Experten der BI.ZONE Threat Intelligence betonen, dass die Verwendung von RAR-Archiven einen doppelten strategischen Vorteil bietet. Einerseits ermöglicht dies die Ausnutzung von Archivierungssoftware-Schwachstellen zur Malware-Installation. Andererseits wirken solche Anhänge in der Geschäftskommunikation natürlich und erhöhen die Wahrscheinlichkeit, E-Mail-Sicherheitsfilter zu umgehen.
Diese Paper Werewolf-Kampagne demonstriert die kontinuierliche Evolution von Cyberspionage-Methoden und unterstreicht die Bedeutung zeitnaher Software-Updates. Organisationen sollten umgehend WinRAR auf die neuesten Versionen aktualisieren, die Überwachung eingehender E-Mails verstärken und das Bewusstsein ihrer Mitarbeiter für moderne Social-Engineering-Bedrohungen schärfen. Nur ein ganzheitlicher Cybersecurity-Ansatz kann wirksamen Schutz vor derartigen ausgefeilten Angriffen gewährleisten.
