Міжнародна хакерська група Paper Werewolf здійснила серію складних кібератак проти організацій у Росії та Узбекистані протягом липня-серпня 2025 року. Зловмисники використали комбінацію методів соціальної інженерії та експлуатації критичних вразливостей у популярному архіваторі WinRAR, що демонструє еволюцію тактик сучасного кібершпигунства.
Багатоступенева схема проникнення в корпоративні мережі
За даними дослідження BI.ZONE, атакувальники розробили досконалий механізм первинного проникнення. Кампанія розпочиналася з цільових фішингових електронних листів, що містили шкідливі RAR-архіви, замасковані під важливі ділові документи.
Особливо витончену тактику продемонстрували під час атаки на російського виробника спеціалізованого обладнання. Кіберзлочинці відправили цільовий лист від імені великого науково-дослідного інституту, використовуючи скомпрометовану електронну адресу реально існуючої меблевої компанії. Такий підхід значно підвищував довіру отримувачів до повідомлення та ймовірність успішного зараження.
Технічний аналіз шкідливого програмного забезпечення
Всередині вірусного архіву аналітики виявили підроблені “міністерські документи” та модифіковану версію XPS Viewer – легітимної програми Microsoft. Зловмисники впровадили у виконуваний файл програми шкідливий код, що забезпечує віддалене керування скомпрометованими пристроями та виконання довільних команд операційної системи.
Експлуатація вразливостей WinRAR: від відомих до zero-day
Paper Werewolf використала дві різні вразливості архіватора для автоматичного встановлення зловмисного ПЗ при розпакуванні архівів. В атаці на виробника обладнання була задіяна вразливість CVE-2025-6218, що впливає на версії WinRAR до 7.11 включно.
У подальших атаках група застосувала раніше невідому zero-day вразливість, що впливає навіть на версію WinRAR 7.12. Цікаво, що незадовго до цих інцидентів на підпільному хакерському форумі з’явилася пропозиція про продаж експлоіта для цієї вразливості вартістю 80 000 доларів.
Масштаб загрози для корпоративного сектору
Статистичні дані підкреслюють критичність ситуації: майже 80% російських компаній використовують WinRAR, а практично всі співробітники з корпоративними Windows-пристроями регулярно працюють з цим архіватором. Така поширеність робить вразливості WinRAR особливо привабливими для кіберзлочинців.
Еволюція тактик кібершпигунських угруповань
На думку експертів BI.ZONE Threat Intelligence, використання RAR-архівів переслідує подвійну мету. По-перше, це дозволяє експлуатувати вразливості архіватора для встановлення шкідливого ПЗ. По-друге, такі вкладення виглядають природно в діловому листуванні, що підвищує ймовірність проходження через email-фільтри безпеки.
Ця кампанія Paper Werewolf демонструє постійну еволюцію методів кібершпигунства та критичну важливість своєчасного оновлення програмного забезпечення. Організаціям необхідно негайно оновити WinRAR до останніх версій, посилити моніторинг вхідної кореспонденції та підвищити обізнаність співробітників про сучасні загрози соціальної інженерії. Лише комплексний підхід до кібербезпеки може забезпечити надійний захист від подібних витончених атак.
