Kumpulan peretasan yang berkaitan dengan Rusia mengeksploitasi kelemahan sifar hari yang kritikal dalam utiliti pemampatan fail Winrar yang popular, meletakkan berjuta-juta pengguna berisiko. Kekurangan yang dikenal pasti sebagai CVE-2025-8088, membolehkan penyerang melaksanakan kod berniat jahat pada sistem sasaran ketika mereka membuka fail arkib yang dibuat khas. href=”https://www.welivesecurity.com/en/eset-research/update-winrar-tools-now-romcom-and-others-exploiting-zero-day-vulnerability/”target=”_ blank”Pemaju Winrar sejak Dikeluarkan versi 7.13 untuk menambal kerentanan . Walau bagaimanapun, aplikasi itu tidak dikemas kini secara automatik, yang memerlukan pengguna untuk memasang secara manual. Kekurangan ciri-ciri auto-update di Winrar dengan ketara meluaskan peluang untuk pelakon ancaman untuk berjaya dengan kempen pancingan data mereka. Exploitation
The vulnerability was first detected in the wild by ESET researchers on July 18, 2025, who observed Aktiviti fail yang tidak biasa menunjuk ke eksploit baru . Selepas mengesahkan tingkah laku, mereka secara bertanggungjawab mendedahkan kecacatan kepada pemaju Winrar pada 24 Julai, satu langkah yang mendorong tindak balas pantas.
Hanya enam hari kemudian, pada 30 Julai, versi yang ditampal dikeluarkan. Kesilapan ini kini secara rasmi dikesan dalam pangkalan data kelemahan kebangsaan sebagai CVE-2025-8088 . Penemuannya terus menjadi trend masalah keselamatan yang mengganggu dalam arkib di mana-mana, yang kekal sebagai sasaran bernilai tinggi untuk penjenayah siber. Kelas kecacatan ini membolehkan penyerang menulis fail ke lokasi sewenang-wenang di komputer mangsa, melangkaui sekatan keselamatan standard. Serangan ini bermula dengan e-mel phishing yang mengandungi fail arkib yang berniat jahat.
Apabila pengguna dengan versi Winrar yang terdedah membuka fail ini, eksploit itu menipu permohonan untuk mengekstrak yang boleh dilaksanakan dengan jahat ke dalam folder sistem yang sensitif. Sasaran utama ialah direktori Windows Startup, lokasi yang memastikan program dijalankan secara automatik pada log masuk.
Dalam nota pelepasan rasminya, pemaju mengesahkan mekanisme itu, yang menyatakan,”Apabila mengekstrak fail, versi sebelumnya Winrar… boleh ditipu untuk menggunakan jalan, yang ditakrifkan dalam arkib yang dibuat secara khusus, bukannya laluan yang ditentukan pengguna.”Sebaik sahaja malware ditanam dalam folder permulaan, ia secara automatik akan berjalan pada masa akan datang pengguna log masuk ke Windows, yang membawa kepada pelaksanaan kod jauh dan memberikan kawalan penyerang.
Kumpulan ini mempunyai sejarah memanfaatkan sifar-hari untuk menggunakan backdoors adat dan mencuri data. Menurut penyelidik Peter Strýček,”Arkib ini mengeksploitasi CVE-2025-8088 untuk menyampaikan romcom backdoors. Romcom adalah kumpulan yang selaras Rusia.”Analisis ESET menyatakan,”Dengan mengeksploitasi kelemahan sifar hari yang tidak diketahui sebelum ini di Winrar, kumpulan Romcom telah menunjukkan bahawa ia bersedia untuk melabur usaha dan sumber yang serius ke dalam operasi sibernya.”Mengganggu, Romcom tidak bersendirian. Firma keselamatan Rusia Bi.Zone melaporkan bahawa kumpulan kedua, yang dikenali sebagai Werewolf atau Goffee, juga didapati mengeksploitasi CVE-2025-8088 dalam kempennya sendiri. Alat ini mempunyai sejarah kelemahan kritikal yang secara aktif dieksploitasi di alam liar. Pada tahun 2023, kecacatan lain, CVE-2023-38831, digunakan oleh penggodam yang disokong oleh negara dari Rusia dan China. Insiden berulang ini berfungsi sebagai peringatan yang jelas tentang risiko yang berkaitan dengan perisian yang tidak dikemas kini secara konsisten.
Inti masalah adalah kadar kemas kini manual yang perlahan. Memandangkan kumpulan analisis ancaman Google sebelum ini mengulas mengenai eksploitasi Winrar,”… eksploitasi yang berterusan […]’menyoroti bahawa eksploitasi untuk kelemahan yang diketahui boleh menjadi sangat berkesan’kerana penyerang menggunakan kadar penampalan perlahan untuk kelebihan mereka.”Penyerang memahami tingkah laku pengguna ini dan membina kempen di sekelilingnya, mengetahui kumpulan besar sasaran yang terdedah akan berterusan selama berbulan-bulan.
Walaupun Microsoft telah memperkenalkan sokongan asli untuk RAR dan format arkib lain di Windows 11 baru-baru ini membina, berjuta-juta pengguna pada sistem yang lebih tua atau mereka yang lebih suka ciri Winrar tetap kekal. Semua pengguna sangat dinasihatkan untuk memuat turun dan memasang Winrar 7.13 atau lebih baru dengan segera.
