WinRAR.patchato Ma Gli Hacker Russi Entrano Lo

La scena

Marco B. non avrebbe dovuto aprire quell'allegato. Era venerdì pomeriggio, le 17:42, e l'ufficio era già semivuoto. L'email arrivava da un fornitore abituale, quella società logistica di Milano che gestiva i loro trasporti da tre anni. "Fattura marzo 2026 - urgente".

WinRAR si aprì. Estrasse i file. Marco cliccò su quello che sembrava un PDF.

Niente.

Solo tre giorni dopo, l'IT manager dell'azienda – una PMI metalmeccanica da 40 dipendenti nel Bresciano – scoprì che qualcosa non andava. Il sistema di posta aveva inviato 1.847 email verso l'esterno nella notte. Tutte con allegati diversi. Tutte dirette a indirizzi che nessuno conosceva.

Il malware aveva usato il nome utente di Marco per autenticarsi. Aveva installato un keylogger silenzioso. E aveva iniziato a esfiltrare dati verso un server in Russia.

Tutto questo è successo nonostante WinRAR avesse già corretto la vulnerabilità otto mesi prima.

Il bug che non muore mai

CVE-2025-8088 è una falla di path traversal in WinRAR. In parole povere: permette a un file compresso di scrivere file fuori dalla cartella dove viene estratto. Quando estrai un archivio RAR, il software dovrebbe mettere tutto dentro quella directory. Con questo bug, un aggressore può dire al programma di scrivere file dove vuole lui – anche nella cartella di avvio di Windows.

La patch è uscita a maggio 2025. Microsoft l'ha integrata in Windows Update. WinRAR ha rilasciato la versione 7.10 con la correzione.

Eppure, a gennaio 2026, i ricercatori di SecurityAffairs hanno documentato che almeno due gruppi APT russi – collegati a Fancy Bear e Cozy Bear, le squadre di hacking dello stato russo – stanno ancora usando questa falla per attaccare obiettivi europei.

Come è possibile?

La risposta è semplice e spaventosa: la maggioranza delle aziende non ha ancora aggiornato WinRAR.

Non per negligenza. Perché WinRAR non è un software che le aziende "installano". È uno strumento che i dipendenti scaricano da soli, spesso su PC personali o su macchine dove l'IT non ha visibilità. Chiunque abbia mai lavorato in un ufficio sa che c'è sempre qualcuno che ha ancora una versione di WinRAR del 2019 sul computer.

E i gruppi russi lo sanno.

Come funziona l'attacco

Il meccanismo è inquietante nella sua semplicità.

L'aggressore invia un'email di phishing con un allegato .RAR. L'oggetto è credibile: una fattura, un documento di spedizione, un preventivo. Qualcosa che il destinatario si aspetta di ricevere.

L'archivio contiene due elementi. Il primo è un file PDF apparentemente normale – una fattura fasulla, magari ricostruita con dati veri rubati da precedenti violazioni. Il secondo è un file eseguibile nascosto, con un nome che sembra parte del documento.

Quando la vittima estrae l'archivio con una versione vulnerabile di WinRAR, il bug permette al software di scrivere l'eseguibile nella cartella di avvio di Windows. Al prossimo riavvio del PC, il malware parte automaticamente.

Non c'è bisogno che l'utente "clichi su qualcosa di strano". Non c'è bisogno che disattivi le protezioni. Il solo fatto di aver estratto l'archivio è sufficiente.

I gruppi APT russi hanno affinato la tecnica. Usano archivi con nomi che ingannano: non solo "fattura.pdf.exe", ma file con estensioni doppie, nomi che terminano con spazi, icone PDF iniettate in eseguibili. Il livello di dettaglio è impressionante.

Una voltainside, il malware tipicamente scarica un secondo stadio – spesso un RAT, un remote access trojan – che permette agli hacker di controllare il PC da remoto. Possono leggere email, rubare credenziali, muoversi lateralmente nella rete aziendale.

E tutto questo inizia con un file che l'antivirus non ha bloccato, perché l'antivirus non analizza i file compressi prima che vengano estratti.

Il costo che nessuno calcola

L'azienda di Marco ha impiegato tre settimane per scoprire l'entità del danno. Il malware aveva esfiltrato 14 GB di dati: email commerciali, listini prezzi, trattative con clienti.

Il costo diretto? Circa 80.000 euro in consulenza forense, bonifica dei sistemi e notifica GDPR ai clienti coinvolti. Il costo indiretto – il cliente che ha perso la fattura da 200.000 euro perché i concorrenti l'avevano già letta – è incalcolabile.

E non è un caso isolato.

Le PMI italiane sono il bersaglio preferito di questi attacchi. Non perché siano meno protette, ma perché hanno meno risorse per verificare ogni email, meno strumenti per analizzare ogni allegato, e soprattutto meno consapevolezza che il problema arriva da WinRAR – un software che nemmeno considerano come vettore d'attacco.

Cosa puoi fare

La prima cosa è aggiornare WinRAR. Tutte le versioni. Su tutti i PC.

Ma sappiamo che non basta. Il patching è una corsa senza fine, e gli hacker lo sanno. Ogni giorno viene scoperto un nuovo bug, ogni settimana c'è una nuova patch da applicare.

La seconda cosa è analizzare gli allegati prima dell'estrazione. Questo significa usare un sistema che "apra" l'archivio in un ambiente isolato – una sandbox – e verifichi cosa c'è dentro prima che possa fare danni. È quello che fa un antispam professionale come MailSniper, che analizza gli archivi in tempo reale e blocca quelli che contengono eseguibili sospetti.

La terza cosa è la formazione. I dipendenti devono sapere che un file RAR può essere pericoloso quanto un.exe. Che "estrai" non è lo stesso di "apri". Che l'indirizzo del mittente può essere contraffatto.

Ma la formazione da sola non ferma un APT motivato. Servono strumenti che analizzino il comportamento, non solo la firma.

La domanda che nessuno vuole fare

WinRAR ha corretto il bug. Microsoft ha distribuito la patch. Eppure gli hacker russi entrano lo stesso.

Quante altre aziende là fuori stanno lavorando con una versione vecchia di WinRAR, senza saperlo, mentre qualcuno legge le loro email?

La risposta è: molte di più di quante pensiamo.

E la prossima volta che il tuo collega estrae un archivio RAR allegato a un'email, non sarà il bug di WinRAR a salvarlo.