Hacking-Gruppen mit russischen verbundenen Hacking-Gruppen nutzen eine kritische Null-Day-Schwachstelle im populären Dienstprogramm für Winrar-Dateikomprimierung, wodurch Millionen von Benutzern gefährdet werden. Der als CVE-2025-8088 identifizierte Fehler ermöglicht es Angreifern, böswilligen Code auf dem System eines Ziels auszuführen, wenn sie eine speziell gestaltete Archivdatei öffnen. href=”https://www.welivescurity.com/en/eset-research/update-winrar-tools-now-romcom-andhers-exploiting-zero-day-vulnerability/”target=”_ leer”> sie der Romcom Cybercrime-Gruppe zuzuschreiben . Winrars Entwickler hat seitdem Veröffentlichung Version 7.13, um die Sicherheitsanfälligkeit zu patchen. Die Anwendung wird jedoch nicht automatisch aktualisiert, sodass Benutzer die Fix manuell installieren müssen. Das Fehlen eines Auto-Update-Features in Winrar erweitert das Fenster der Möglichkeit, dass Bedrohungsakteure mit ihren Phishing-Kampagnen erfolgreich sein. Aktive Ausbeutung
Die Verwundbarkeit wurde am 18. Juli 2025 erstmals in freier Wildbahn nachgewiesen, die Ungewöhnliche Dateiaktivität, die auf einen neuen Exploit zeigt . Nachdem sie das Verhalten bestätigt hatten, gaben sie den Fehler an die Entwickler von Winrar am 24. Juli verantwortungsbewusst bekannt, ein Schritt, der eine schnelle Antwort ausführte. Der Fehler ist jetzt offiziell in der nationalen Datenbank der Verwundbarkeit von Schwachstellen als CVE-2025-8088 verfolgt. Seine Entdeckung setzt einen beunruhigenden Trend von Sicherheitsproblemen im allgegenwärtigen Archiver, der ein hochwertiges Ziel für Cyberkriminale bleibt. Diese Fehlerklasse ermöglicht es einem Angreifer, Dateien an willkürliche Standorte auf dem Computer eines Opfers zu schreiben, wobei die Standardsicherheitsbeschränkungen umgehen. Der Angriff beginnt mit einer Phishing-E-Mail mit einer böswilligen Archivdatei. Das primäre Ziel ist das Windows-Startverzeichnis, ein Ort, an dem die Programme automatisch auf Anmeldung ausgeführt werden. Sobald die Malware in den Startordner gepflanzt ist, wird das nächste Mal automatisch ausgeführt, wenn sich der Benutzer in Windows anmeldet, was zur Ausführung von Remote-Code führt und dem Angreifer die Kontrolle übernimmt. Diese Gruppe hat in der Vergangenheit Zull-Days, um benutzerdefinierte Hintertoors bereitzustellen und Daten zu stehlen. Nach Angaben des Forschers Peter Strýček „nutzten diese Archive die CVE-2025-8088 aus, um Romcom-Hintertoors zu liefern. Romcom ist eine von Russland ausgerichtete Gruppe.“
Die Gruppe der Gruppe ist bemerkenswert. Die Analyse von ESET heißt es:”Durch die Nutzung einer bisher unbekannten Zero-Day-Verwundbarkeit in Winrar hat die Romcom-Gruppe gezeigt, dass sie bereit ist, ernsthafte Anstrengungen und Ressourcen in ihre Cyberoperationen zu investieren.”Beunruhigenderweise ist Romcom nicht allein. Das russische Sicherheitsunternehmen Bi.zone berichtete, dass eine zweite Gruppe, die als Papier-Werwolf oder Goffee bekannt ist, in seinen eigenen Kampagnen auch CVE-2025-8088 ausnutzte. Das Tool hat eine Geschichte kritischer Schwachstellen, die in freier Wildbahn aktiv ausgenutzt wurden. Im Jahr 2023 wurde ein weiterer Fehler, CVE-2023-38831, von staatlich unterstützten Hackern aus Russland und China verwendet.
Im selben Jahr, ein separater Fehler, CVE-2023-40477, ermöglichte auch eine Remote-Codeausführung auf betroffenen Systemen, die einen weiteren dringenden Patch erfordern. Diese wiederholten Vorfälle erinnern eine starke Erinnerung an die mit Software verbundenen Risiken, die nicht konsequent aktualisiert werden.
Der Kern des Problems ist die langsame Rate der manuellen Aktualisierungen. Wie Googles Bedrohungsanalysegruppe zuvor zu Winrar-Exploits kommentierte: Angreifer verstehen dieses Benutzerverhalten und erstellen Kampagnen in der Nähe, wobei ein großer Pool an schutzbedürftiger Ziele monatelang bestehen bleibt. Alle Benutzer werden dringend empfohlen, Winrar 7.13 oder neuer herunterzuladen und zu installieren.