Các nhóm hack liên kết với Nga đang khai thác lỗ hổng không quan trọng trong tiện ích nén tệp Winrar phổ biến, khiến hàng triệu người dùng gặp nguy hiểm. Lỗ hổng, được xác định là CVE-2025-8088, cho phép những kẻ tấn công thực thi mã độc trên hệ thống mục tiêu khi họ mở một tệp lưu trữ được chế tạo đặc biệt. href=”https://www.welivesecurity.com/en/eset-research/update-winrar-tools-now-romcom-and-others-exploiting-nero-day-vulnerability Nhà phát triển Winrar, kể từ Phiên bản được phát hành 7.13 để vá lỗ hổng . Tuy nhiên, ứng dụng không tự động cập nhật, yêu cầu người dùng cài đặt thủ công bản sửa lỗi. Việc thiếu tính năng cập nhật tự động trong Winrar mở rộng đáng kể cửa sổ cơ hội cho các diễn viên đe dọa thành công với các chiến dịch lừa đảo của họ.
Hoạt động tệp bất thường trỏ đến khai thác mới . Sau khi xác nhận hành vi, họ có trách nhiệm tiết lộ lỗ hổng cho các nhà phát triển Winrar, vào ngày 24 tháng 7, một động thái đã thúc đẩy phản hồi nhanh chóng. Lỗ hổng hiện đang chính thức Được theo dõi trong cơ sở dữ liệu lỗ hổng quốc gia là CVE-2025-8088 . Phát hiện của nó tiếp tục một xu hướng rắc rối về các vấn đề bảo mật trong kho lưu trữ tệp phổ biến, vẫn là mục tiêu có giá trị cao đối với tội phạm mạng. Lớp lỗ hổng này cho phép kẻ tấn công ghi các tệp vào các vị trí tùy ý trên máy tính nạn nhân, bỏ qua các hạn chế bảo mật tiêu chuẩn. Cuộc tấn công bắt đầu bằng một email lừa đảo có chứa tệp lưu trữ độc hại. Mục tiêu chính là thư mục Windows Startup, một vị trí đảm bảo các chương trình tự động chạy trên đăng nhập. Khi phần mềm độc hại được trồng trong thư mục khởi động, nó sẽ tự động chạy vào lần tiếp theo người dùng đăng nhập vào Windows, dẫn đến thực thi mã từ xa và điều khiển kẻ tấn công. Nhóm này có lịch sử tận dụng các ngày 0 để triển khai dữ liệu hậu mãi và đánh cắp dữ liệu tùy chỉnh. Theo nhà nghiên cứu Peter Strýček, những tài liệu lưu trữ này đã khai thác CVE-2025-8088 để cung cấp các cửa hàng romcom. Romcom là một nhóm liên kết với Nga.”
Sự tinh tế của nhóm là đáng chú ý. Phân tích của ESET, tuyên bố, bằng cách khai thác lỗ hổng không rõ ràng trước đây ở Winrar, nhóm Romcom đã chỉ ra rằng họ sẵn sàng đầu tư nỗ lực và nguồn lực nghiêm trọng vào các hoạt động mạng của mình.”Thật đáng lo ngại, Romcom là một mình. Công ty an ninh Nga Bi.zone đã báo cáo rằng một nhóm thứ hai, được gọi là Paper Werewolf hoặc Goffee, cũng được tìm thấy khai thác CVE-2025-8088 trong các chiến dịch của chính mình. Công cụ này có một lịch sử của các lỗ hổng quan trọng đã được tích cực khai thác trong tự nhiên. Vào năm 2023, một lỗ hổng khác, CVE-2023-38831, đã được sử dụng bởi các tin tặc được nhà nước hậu thuẫn từ Nga và Trung Quốc. Các sự cố lặp đi lặp lại này đóng vai trò là một lời nhắc nhở rõ ràng về các rủi ro liên quan đến phần mềm không được cập nhật nhất quán.
Cốt lõi của vấn đề là tốc độ cập nhật thủ công chậm. Như nhóm phân tích mối đe dọa của Google đã nhận xét trước đây về việc khai thác Winrar, thì việc khai thác đang diễn ra [Tiết] ‘nhấn mạnh rằng việc khai thác các lỗ hổng đã biết có thể có hiệu quả cao vì những kẻ tấn công sử dụng tốc độ vá chậm để lợi thế của chúng.”Những kẻ tấn công hiểu hành vi của người dùng này và xây dựng các chiến dịch xung quanh nó, biết rằng một nhóm lớn các mục tiêu dễ bị tổn thương sẽ tồn tại trong nhiều tháng. Tất cả người dùng được khuyên nên tải xuống và cài đặt WinRar 7.13 hoặc mới hơn ngay lập tức.
