Venäjän linkitetyt hakkerointiryhmät hyödyntävät kriittistä nollapäivän haavoittuvuutta suositussa Winrar-tiedostojen pakkausapuohjelmassa, mikä vaarantaa miljoonat käyttäjät. CVE-2025-8088 tunnistettu virhe antaa hyökkääjille mahdollisuuden suorittaa haitalliset koodit kohteen järjestelmässä, kun he avaavat erityisesti muotoilun arkistotiedoston.
tietoturvayritys ESET löysi aktiiviset hyödyntämisen heinäkuussa 2025, Asettamalla heille romcomcrimarimaryhmä . Winrarin kehittäjä on sittemmin vapautettu versio 7.13 haavoittuvuuden korjaamiseksi . Sovellus ei kuitenkaan päivitä automaattisesti, mikä vaatii käyttäjiä asentamaan korjauksen manuaalisesti.
Tapahtumakohde Kohokohdat Pysyvä tietoturvahaaste: Hyökkääjät hyödyntävät usein laajalti asennetun ohjelmiston hitaita korjausjaksoja. Automaattisen päivitysominaisuuden puute Winrarissa laajentaa merkittävästi uhkatoimijoiden mahdollisuuksien mahdollisuutta menestyä tietojenkalastelukampanjoidensa kanssa.
The vulnerability was first detected in the wild by ESET researchers on July 18, 2025, who observed Epätavallinen tiedostotoiminta, joka osoittaa uuteen hyväksikäyttöön . Käyttäytymisen vahvistamisen jälkeen he paljastivat vastuun VINRARin kehittäjille 24. heinäkuuta, siirto, joka sai aikaan nopean vastauksen.
Vain kuusi päivää myöhemmin, 30. heinäkuuta, annettiin korjattu versio. Virhe on nyt virallisesti seurattu kansallisen haavoittuvuustietokannassa CVE-201025-8088 . Sen löytö jatkaa huolestuttavaa turvallisuuskysymystä kaikkialla kaikkialla olevassa tiedostoarkistossa, joka on edelleen tietoverkkorikollisten arvoinen kohde. Tämän puutteen luokan avulla hyökkääjä voi kirjoittaa tiedostoja mielivaltaisiin paikkoihin uhrin tietokoneella ohittaen tavanomaiset tietoturvarajoitukset. Hyökkäys alkaa tietojenkalasteluviestillä, joka sisältää haitallisen arkistotiedoston.
Kun haavoittuva WinRAR-version käyttäjä avaa tämän tiedoston, hyödyntää sovelluksen poimimaan haitallisen suoritettavan arkaluontoiseen järjestelmäkansioon. Ensisijainen tavoite on Windows-käynnistyshakemisto, sijainti, joka varmistaa, että ohjelmat suoritetaan automaattisesti sisäänkirjautumisessa.
virallisessa julkaisuhuomautuksissaan kehittäjä vahvisti mekanismin, jossa todettiin: “Kun tiedostoa poistetaan, Winrarin aiemmat versiot… voidaan huijata polun, joka on määritelty erityisesti muotoiltuun arkistoon, käyttäjän määritetyn polun sijaan.”Kun haittaohjelma on istutettu käynnistyskansioon, se suorittaa automaattisesti seuraavan kerran, kun käyttäjä kirjautuu sisään Windowiin, mikä johtaa etäkoodien toteuttamiseen ja antaa hyökkääjän hallintaan.
Venäjän hakkerointiryhmät johtavat phishing-kampanjoita
ESET on omistanut hyökkäysten ensisijaisen aallon hyvin. Tällä ryhmällä on historiaa, että se on hyödyntänyt nollapäivää räätälöityjen takaovien käyttöönotosta ja tietojen varastamista. Tutkijan Peter Strýčekin mukaan “Nämä arkistot käyttivät CVE-2015-8088: n toimittamiseen Romcom-takaovien toimittamiseen. Romcom on Venäjän mukainen ryhmä.”
Ryhmän hienostuneisuus on huomattava. ESET: n analyysi toteaa:”Hyödyntämällä aiemmin tuntematonta nollapäivän haavoittuvuutta Winrarissa, Romcom-ryhmä on osoittanut, että se on valmis sijoittamaan vakavia ponnisteluja ja resursseja tietoverkkoon.”Häiritsevästi Romcom ei ole yksin. Venäjän turvallisuusyritys Bi.zone kertoi, että toisen ryhmän, joka tunnetaan nimellä paperi-ihmissusi tai Goffee, todettiin myös CVE-2015-8088: n hyödyntävän omissa kampanjoissaan.