CVE-2025-8088と識別される広く使用されているWinrarファイル圧縮ユーティリティのゼロデイの脆弱性の高い脆弱性は、2つのロシアのサイバー犯罪グループによって積極的に活用されており、悪意のあるアーカイブを開いたコンピューターのバックアリングにつながりました。セキュリティ会社であるESETは、テレメトリーが異常なディレクトリパスでファイルにフラグを立てた7月18日にこれらの攻撃を最初に検出しました。 7月24日までに、ESETは、アクティビティがWinrarの未知の脆弱性にリンクされていると判断しました。 ESETは同じ日にWinrar開発者に速やかに通知し、6日後に修正がリリースされました。
脆弱性は、パストラバーサル欠陥を活用するために、Windows機能である代替データストリームを活用しました。これにより、攻撃者が選択したファイルパス、特に%TEMP%と%LocalAppData%に悪意のある実行可能性を植えることができました。これは、通常、コードを実行する能力があるためにWindowsが制限します。 ESETは、これらの攻撃を、ロシアで運営する財政的に動機付けられたサイバー犯罪グループであるRomcomに起因していました。 ESETのAnton Cherepanov、Peter Str美類、およびDamien Schaefferは、「Winrarで以前は未知のゼロデー日の脆弱性を活用することにより、Romcomグループは、深刻な努力とリソースをサイバー操作に投資する意思があることを示しています。
興味深いことに、RomcomはCVE-2025-8088を利用する唯一のグループではありませんでした。ロシアのセキュリティ会社Bi.Zoneは、同じ脆弱性も、Goffeeとしても知られるPaper Wearwolfとして追跡するグループによって積極的に活用されていると報告しました。このグループは、CVE-2025-8088の修正がリリースされる5週間前にパッチが適用されたもう1つの高強度のWinrarの脆弱性であるCVE-2025-6218を同時に利用していました。 Bi.Zoneは、7月と8月に紙のWerewolfがエクスプロイトを提供し、Artived Systemsにアクセスするためにマルウェアをインストールするという究極の目標を設定して、All-Russian Research Instituteの従業員になりすましている電子メールに添付されたアーカイブを通じてエクスプロイトを行いました。
ESETとbi.Zoneによる発見は独立していましたが、これらの脆弱性を活用しているグループが共有ソースからのエクスプロイト知識を接続または取得しているかどうかは不明のままです。 Bi.Zoneは、Paper Wearwolfがダークマーケット犯罪フォーラムを通じて脆弱性を獲得した可能性があると推測しました。 ESETは、監視した攻撃で3つの異なる実行チェーンを観察しました。特定の組織をターゲットにした1つのチェーンには、COMハイジャックを介してアーカイブに隠された悪意のあるDLLファイルを実行することが含まれます。この方法により、Microsoft Edgeなどの特定のアプリケーションによってDLLが実行されました。 DLLは、埋め込みシェルコードを復号化し、現在のマシンのドメイン名を取得し、ハードコードされた値と比較します。それらが一致した場合、シェルコードはMythic Agent Exploitation Frameworkのカスタムインスタンスをインストールしました。
2番目の実行チェーンでは、最終的なペイロードとして、既知のRomcomマルウェアであるSnipbotを配信するために、悪意のあるWindows実行可能ファイルを実行しました。このマルウェアは、空の仮想マシンまたはサンドボックスで開かれたときに終了する抗分析技術を組み込んだ。 3番目の実行チェーンでは、他の2つの既知のROMCOMマルウェアバリエーションを使用しました。Rustyclawと融解爪です。
Winrarの脆弱性には、マルウェアのインストールに悪用された歴史があります。 2019年からのコード解釈の脆弱性により、パッチが適用された直後に広範な搾取が見られました。最近では、2023年に、攻撃が検出される前に4か月以上にわたってWinrarゼロデイが悪用されました。 Winrarの大規模なユーザーベースは、自動化された更新メカニズム(ユーザーが手動でパッチをダウンロードしてインストールするように要請すること)を不足させ、マルウェアの伝播に理想的な手段となります。 ESETはまた、コマンドラインユーティリティUnrar.dllのWindowsバージョンとポータブルUnrarソースコードも脆弱であることを強調しました。ユーザーは、Winrarバージョン7.13以降に更新することをお勧めします。このレポートの時点では、すべての既知の脆弱性の修正が含まれています。ただし、Winrarゼロデイの再発性を考えると、これは将来の脅威に対する限られた保証を提供します。
