В период с июля по начало августа 2025 года международная шпионская группировка Paper Werewolf провела серию целенаправленных кибератак против организаций в России и Узбекистане. Злоумышленники использовали изощренную тактику, сочетающую социальную инженерию с эксплуатацией критических уязвимостей в популярном архиваторе WinRAR.
Механизм атаки: от фишинга до компрометации системы
Согласно исследованию аналитиков BI.ZONE, атакующие разработали многоступенчатую схему проникновения в корпоративные сети. Первоначальный вектор атаки включал фишинговые электронные письма с вредоносными RAR-архивами, замаскированными под важные деловые документы.
Особую изощренность продемонстрировала атака на российского производителя специализированного оборудования. Киберпреступники отправили целевое письмо от имени крупного научно-исследовательского института, используя для этого скомпрометированный почтовый адрес реально существующей мебельной компании. Такой подход значительно повышал доверие получателей к сообщению.
Техническая составляющая: модификация легитимного ПО
Внутри вредоносного архива исследователи обнаружили поддельные «министерские документы» и модифицированную версию XPS Viewer — изначально легитимной программы Microsoft. Злоумышленники внедрили в исполняемый файл программы вредоносный код, обеспечивающий удаленное управление скомпрометированными устройствами и выполнение произвольных команд.
Эксплуатация уязвимостей WinRAR
Paper Werewolf использовала две различные уязвимости архиватора WinRAR для автоматической установки вредоносного ПО при распаковке архивов. В атаке на производителя оборудования была задействована уязвимость CVE-2025-6218, затрагивающая версии WinRAR до 7.11 включительно.
В последующих атаках группировка применила ранее неизвестную уязвимость нулевого дня, воздействующую даже на версию WinRAR 7.12. Примечательно, что незадолго до этих инцидентов на подпольном хакерском форуме появилось предложение о продаже эксплоита для данной уязвимости стоимостью 80 000 долларов.
Масштаб угрозы для российского бизнеса
Статистические данные подчеркивают критичность ситуации: почти 80% российских компаний используют WinRAR, а практически все сотрудники с корпоративными Windows-устройствами регулярно работают с этим архиватором. Такая распространенность делает уязвимости WinRAR особенно привлекательными для киберпреступников.
Эволюция тактик шпионских группировок
По мнению экспертов BI.ZONE Threat Intelligence, использование RAR-архивов преследует двойную цель. Во-первых, это позволяет эксплуатировать уязвимости архиватора для установки вредоносного ПО. Во-вторых, такие вложения выглядят естественно в деловой переписке, что повышает вероятность прохождения через email-фильтры безопасности.
Данная кампания Paper Werewolf демонстрирует постоянную эволюцию методов кибершпионажа и важность своевременного обновления программного обеспечения. Организациям необходимо незамедлительно обновить WinRAR до последних версий, усилить мониторинг входящей корреспонденции и повысить осведомленность сотрудников о современных угрозах социальной инженерии. Только комплексный подход к кибербезопасности может обеспечить надежную защиту от подобных изощренных атак.
