Группа хакеров Paper Werewolf использует уязвимости в архиваторе WinRAR для проведения кибератак на российские компании. Согласно отчету Bi.zone, в июле — начале августа 2025 года злоумышленники атаковали организации в России и Узбекистане, рассылая фишинговые письма с вредоносными RAR-архивами.
WinRAR — один из самых популярных архиваторов в России, который используют 79% компаний на Windows. Хакеры эксплуатируют две уязвимости в WinRAR 7.11, включая CVE-2025-6218, чтобы скрытно устанавливать вредоносное ПО. Перед атаками в даркнете появился эксплоит для этой уязвимости, который продавался за $80 тыс.
«Используя RAR‑архивы, атакующие преследовали сразу две цели: не только эксплуатировали уязвимости в WinRAR для установки ВПО, но и увеличивали шансы на то, что фишинговое письмо преодолеет фильтры в электронной почте, ведь такие вложения в деловой переписке — обычное дело».
Олег Скулкин, руководитель BI.ZONE Threat Intelligence
Одной из жертв стал российский производитель спецоборудования: злоумышленники прислали поддельное письмо с «документами из министерства», содержащее модифицированный XPS Viewer, позволяющий удаленно управлять зараженным устройством.
Популярность WinRAR делает его удобной мишенью для кибершпионажа. По данным Bi.zone, с начала 2025 года 36% атак на Россию были связаны именно с хищением данных. Компании продолжают массово покупать лицензии WinRAR (около 10 000 в месяц), но уязвимости в программе остаются серьезной угрозой.