Фахівці з кібербезпеки зафіксували масштабну цілеспрямовану кампанію з боку відомого російського державного хакерського угруповання Gamaredon, яка спрямована проти державних та критичних інфраструктурних об’єктів України. У ході останніх операцій зловмисники почали активно експлуатувати нещодавно виявлену вразливість популярного архіватора файлів WinRAR, яка зареєстрована в базі даних як CVE-2025-8088. Ця технічна прогалина є помилкою обходу шляхів каталогу, яка виникає під час обробки спеціально сформованих архівних файлів. Коли жертва намагається розпакувати або просто переглянути вміст такого шкідливого архіву, система некоректно обробляє вбудовані файлові шляхи, що дозволяє хакерам непомітно записувати сторонні файли в будь-які папки операційної системи, включаючи приховані автозавантаження Windows. Хронологічно атака починається з розсилки фішингових електронних листів, до яких прикріплено шкідливі архіви, замасковані під офіційні документи державних відомств чи звіти.

Аналіз ланцюжка зараження показує, що після успішного спрацювання архіватора на комп’ютері жертви розгортається початковий шкідливий документ формату HTML Application, який аналітики назвали GammaPhish. Цей компонент зв’язується з командним сервером хакерів і завантажує проміжний скрипт на мові Visual Basic Script під кодовою назвою GammaLoad. Уже після цього у систему інфільтруються основні модулі шпигунського програмного забезпечення – шкідливі програми GammaWorm та GammaSteel, які спеціалізуються на тотальному зборі інформації, викраденні облікових даних із браузерів, знятті скріншотів екрана та копіюванні конфіденційних документів. Наслідком цієї кампанії є створення стійкого та довготривалого каналу несанкціонованого доступу до урядових мереж України, через який здійснюється масовий витік геополітичної та військової інформації безпосередньо на сервери підконтрольних спецслужбам РФ структур.