O ataque é executado através de ficheiros aparentemente inofensivos, que ao serem abertos descompactam também ADSes maliciosos. Entre os exemplos detetados, uma DLL é instalada na pasta temporária e um ficheiro LNK malicioso é colocado no diretório de inicialização do Windows, garantindo persistência ao ser executado no login do utilizador.

Os operadores do RomCom disfarçaram estes ficheiros como currículos enviados por email, numa tentativa de atrair vítimas em setores como finanças, manufatura, defesa e logística. Segundo a telemetria da ESET, a campanha ocorreu entre 18 e 21 de julho de 2025 e, apesar das tentativas, não foram registadas infeções bem-sucedidas.

Esta descoberta soma-se a um histórico de abusos de zero-days por parte do RomCom. Em 2023, o grupo explorou a vulnerabilidade CVE-2023-36884 via Microsoft Word em ataques contra entidades governamentais na Europa, enquanto em 2024 combinou falhas no Windows e no Firefox para comprometer navegadores e instalar backdoors.

O RomCom, também conhecido como Storm-0978, Tropical Scorpius ou UNC2596, tem vindo a expandir o seu foco do cibercrime para operações de espionagem direcionadas, alinhadas com interesses estratégicos russos. A sua backdoor habitual permite executar comandos e descarregar módulos adicionais, reforçando a capacidade de persistência e controlo em sistemas comprometidos.

Com esta terceira exploração confirmada de zero-days significativos, o RomCom evidencia recursos e motivação para manter campanhas de espionagem e cibercrime em larga escala. O caso demonstra a importância de reforçar medidas de segurança e atualização constante de software, já que aplicações comuns como o WinRAR podem tornar-se alvos de alto risco.