Các nhà nghiên cứu an ninh mạng vừa phát hiện một chiến dịch phishing tinh vi do nhóm Gamaredon thực hiện, nhắm mục tiêu cụ thể vào các cơ quan chính phủ. Cuộc tấn công khai thác lỗ hổng nghiêm trọng (CVE-2025-8088) trong phần mềm nén tệp WinRAR để chạy ngầm mã độc vào thư mục khởi động của Windows chỉ bằng thao tác mở tệp PDF.

Theo các nhà nghiên cứu, phương thức tấn công này cho thấy đáng lo ngại trong chiến dịch phishing tinh vi do nhóm Gamaredon thực hiện. Bằng cách khai thác lỗ hổng path traversal CVE-2025-8088, hacker tạo ra các tệp lưu trữ RAR độc hại. Khi người dùng mở tệp tin có vẻ là một tài liệu PDF bên trong tệp nén, mã độc HTA (HTML Application) sẽ chạy ngầm vào thư mục Startup của Windows. Lỗ hổng này cho phép hacker tấn công ghi tệp vào các vị trí tùy ý trên hệ thống.

Phần mềm độc hại sẽ tự động thực thi trong lần khởi động hệ thống tiếp theo, hacker tấn công trong mạng lưới chính phủ mà không gây nghi ngờ.

Gamaredon, còn được biết đến với tên gọi Primitive Bear hay Shuckworm, có lịch sử tập trung tấn công vào các tổ chức chính phủ và cơ sở hạ tầng quan trọng, đặc biệt là ở Đông Âu. Chiến dịch mới nhất này tiếp tục sử dụng kỹ thuật social engineering tinh vi, tạo ra các email lừa đảo mạo danh tài liệu chính thức hoặc thông báo khẩn cấp để đánh lừa nhân viên chính phủ.

Phân tích cho thấy các tệp HTA độc hại này hoạt động như các “downloader”, thiết lập kiểm soát để tải thêm các payload khác hoặc đánh cắp thông tin nhạy cảm. Mối đe dọa từ CVE-2025-8088 là rất đáng kể vì WinRAR vẫn được sử dụng rộng rãi trong các môi trường chính phủ và doanh nghiệp.

Các chuyên gia khuyến cáo các tổ chức, đặc biệt là trong lĩnh vực chính phủ, phải ưu tiên vá lỗi WinRAR lên phiên bản mới nhất để giải quyết CVE-2025-8088. Các biện pháp khác bao gồm tăng cường các quy tắc lọc email để phát hiện tệp RAR đáng ngờ, đồng thời sử dụng các giải pháp EDR để giám sát việc tạo tệp HTA bất ngờ trong thư mục Startup.