Entdeckung in WinRAR für Windows die Zero-Day-Schwachstelle CVE-2025-8088 wird von mindestens zwei Gruppen für gezielte Cyberspionageoperationen ausgenutzt. ESET zeigt mit dem Finger auf die russische Gruppe RomCom.

Ein furchterregend diskreter Angriff

Die Methode der Angreifer ist besonders hinterlistig. Sie nutzen eine Path-Traversal-Schwäche aus, die es ihnen dank einer Windows-Funktion (Alternate Data Streams; ADS) ermöglicht, WinRAR zu täuschen.

In der Praxis erstellt ein Angreifer ein eingeschlossenes RAR-Archiv, das scheinbar nur eine einzige harmlose Datei, beispielsweise einen Lebenslauf, enthält. Doch wenn ein neugieriges Opfer dieses Dokument öffnet, entpackt die Software heimtückisch schädliche Dateien in sensible Systemverzeichnisse, einschließlich des Windows-Startordners.

Um die Spuren zu verwischenfügten die Angreifer sogar Täuschungsdateien zum Archiv hinzu. Diese sollen harmlose Warnungen in der Benutzeroberfläche von WinRAR generieren und so die Extraktion echter bösartiger Payloads verbergen. Ein Taschenspielertrick, mit dem Sie Hintertüren installieren können auf dem PC des Opfers ohne Verdacht zu erregen.

RomCom, gut organisierte Cyberkriminelle

Hinter diesen Angriffen steckt vor allem die RomCom-Gruppe, ein mit Russland verbündeter Akteur ist bereits für die Nutzung von Zero-Day-Schwachstellen bekannt. RomCom wurde wegen der Ausnutzung von Schwachstellen in Microsoft Office und Firefox entdeckt.

Laut ESET-Forschern, die den Fehler am 18. Juli 2025 entdeckten, „ Durch die Ausnutzung einer bisher unbekannten Zero-Day-Schwachstelle in WinRAR hat die RomCom Group gezeigt, dass sie bereit ist, erhebliche Anstrengungen und Ressourcen in ihre Cyber-Operationen zu investieren „.

Eine Phishing-Kampagne, die zwischen dem 18. und 21. Juli stattfand, zielte auf Unternehmen aus den Bereichen Finanzen, Verteidigung, Logistik und Industrie in Europa und Kanada ab. Sobald das System kompromittiert war, setzten die Angreifer verschiedene Malware wie Mythic Agent, SnipBot und MeltingClaw ein.

Manuelle Aktualisierung, ein echtes Problem

Auf die Benachrichtigung von ESET reagierte der WinRAR-Herausgeber mit der Veröffentlichung eines Patches. Die am 30. Juli 2025 veröffentlichte WinRAR-Version 7.13 behebt die Schwachstelle. Ein Knackpunkt ist das Fehlen einer automatischen Update-Funktion, die einen manuellen Vorgang erzwingt.

Alle Versionen vor 7.13 sind verwundbar. Die Bedrohung betrifft auch Befehlszeilentools wie UnRAR.dll und den portablen UnRAR-Quellcode.

Um das Ganze noch zu krönen, wurde eine andere Gruppe von Hackern mit dem Spitznamen „Paper Werewolf“ ebenfalls von Bi.Zone dabei erwischt, wie sie denselben Fehler ausnutzte und ihn manchmal mit einer anderen Schwachstelle (CVE-2025-6218) kombinierte, die einige Wochen zuvor gepatcht wurde.