ESET geïdentificeerd Actieve uitbuiting van een WinRar Zero-Day kwetsbaarheid (CVE-2025-8088) door twee Russische cybercriminaliteitsgroepen, Romcom en Paper Werewolf, met eerste detectie op 18 juli en de daaropvolgende kennisgeving aan Winrar-ontwikkelaars op 24 juli, leidend tot een oplossing zes dagen later.
Op 18 juli registreerden de telemetriesystemen van ESET een ongebruikelijk bestandspad, met een onderzoek. Tegen 24 juli had ESET vastgesteld dat deze abnormale activiteit voortkwam uit de exploitatie van een onbekende kwetsbaarheid binnen WinRar, een veel gebruikt hulppressie voor bestandscompressie met naar schatting 500 miljoen installaties wereldwijd. ESET communiceerde deze ontdekking aan WinRar -ontwikkelaars op dezelfde dag. WinRar bracht vervolgens een patch uit die de kwetsbaarheid zes dagen na de melding van ESET aanpakt.
De geïdentificeerde kwetsbaarheid, nu aangeduid als CVE-2025-8088, heeft de functie voor alternatieve gegevensstromen van Windows uitgebreid. Met deze specifieke functie kunnen meerdere manieren een enkel bestandspad weergeven. De exploit gebruikte deze functionaliteit om een voorheen onbekende padverwegingsfout te activeren. Deze fout stelde WinRar in staat om kwaadaardige uitvoerbare bestanden in specifieke aanvaller-gekozen mappen te plaatsen, namelijk %temp %en %LocalAppData %. Deze mappen worden doorgaans beperkt door Windows vanwege hun vermogen om code uit te voeren, waardoor hun manipulatie een belangrijke bypass van de beveiliging is.
ESET schreef de waargenomen aanvallen toe aan Romcom, een financieel gemotiveerde cybercriminaliteitsorganisatie die vanuit Rusland actief is. Deze groep is al enkele jaren consequent actief, wat een capaciteit aantoont om exploits te verwerven en te implementeren, naast het uitvoeren van geavanceerde tradecraft in hun cyberactiviteiten. De uitbuiting van CVE-2025-8088 door Romcom onderstreept hun toewijding om substantiële middelen te investeren in hun cyberactiviteiten. Anton Cherepanov, Peter Strýček en Damien Schaeffer van ESET merkten op: “Door een voorheen onbekende zero-day-vulbaarheid in Winrar te exploiteren, heeft de Romcom-groep aangetoond dat het bereid is serieuze inspanningen en middelen te investeren in zijn cyberoperaties. Dit is in ieder geval de derde tijd die een zero-day kwetsbaarheden in de willekeurige, willekeurige wijze benadrukt, het aannemen van een onderzoek naar de willekeurige aanval en het gebruik van een onderzoek naar de aanwijzingen en het gebruik van een onderzoek naar de aanwijzingen en het gebruik van een onderzoek naar de aanwijzingen en het gebruik van een herzoek en het gebruik van een onderzoek.”
CVE-2025-8088 werd niet exclusief benut door Romcom. Russisch beveiligingsbedrijf Bi.zone documenteerde onafhankelijk actieve exploitatie van dezelfde kwetsbaarheid door een groep die het volgt als Paper Werewolf, ook bekend als Goffee. Bi.zone meldde ook dat Paper Weerwolf CVE-2025-6218 exploiteerde, een afzonderlijke kwetsbaarheid met een hoge ernst die een patch had ontvangen ongeveer vijf weken voorafgaand aan de fix voor CVE-2025-8088.
Bi.zone meldde dat Paper Werewolf in juli en augustus exploits verspreidde. Deze exploits werden geleverd via archieven die zijn gekoppeld aan e-mailberichten die zich voordoen als werknemers van het All-Russian Research Institute. Het doel van deze aanvallen was de installatie van malware, waardoor papieren weerwolf ongeautoriseerde toegang tot gecompromitteerde systemen bood. Terwijl ESET en BI.zone onafhankelijke ontdekkingen hebben gedaan, blijft elk verband tussen de groepen of de oorsprong van hun exploitatie kennis niet bevestigd. Bi.zone heeft gespeculeerd dat Paper Werewolf mogelijk de kwetsbaarheden heeft verkregen via een Dark Market Crime Forum.
ESET’s analyse van de aanvallen identificeerde drie verschillende uitvoeringsketens. Eén keten, specifiek waargenomen in aanvallen op een bepaalde organisatie, betrof een kwaadaardig DLL -bestand verborgen in een archief. Deze DLL werd uitgevoerd met behulp van een techniek die bekend staat als com kaping, waardoor deze werd gelanceerd door legitieme toepassingen zoals Microsoft Edge. Het DLL -bestand in de ingebedde shellcode van het archief gedecodeerd. Deze shellcode haalde vervolgens de domeinnaam van de huidige machine op en vergeleken deze met een hardcode waarde. Als er een match plaatsvond, ging de shellcode over tot het installeren van een aangepast exemplaar van het exploitatiekader van de mythische agent.
Een tweede uitvoeringsketen betrof een kwaadaardig uitvoerbaar Windows dat Snipbot, een bekend stuk Romcom -malware, leverde als de laatste lading. Deze variant van Snipbot heeft anti-analysemechanismen opgenomen, die de uitvoering ervan beëindigt wanneer geopend in een lege virtuele machine of sandbox-omgeving, een gebruikelijke praktijk die door malware wordt gebruikt om forensisch onderzoek door onderzoekers te ontwijken.
De derde uitvoeringsketen gebruikte twee andere gevestigde stukken Romcom -malware: Rustyclaw en smeltende klauw. WinRar -kwetsbaarheden zijn eerder benut voor malwareverdeling. Een in 2019 geïdentificeerde code-uitvoeringskwetsbaarheid werd breed geëxploiteerd kort na de release van de patch. In 2023 bleef een WinRar Zero-Day niet meer dan vier maanden onopgemerkt en geëxploiteerd vóór de ontdekking.
WinRar’s substantiële gebruikersbestand, gecombineerd met het ontbreken van een geautomatiseerd updatemechanisme, maakt het een effectief voertuig voor malware -voortplanting. Gebruikers moeten patches handmatig downloaden en installeren om hun systemen te beveiligen. ESET bevestigde ook dat de Windows-versies van de opdrachtregelhulpprogramma’s, UNRAR.DLL en de draagbare Unrar-broncode ook vatbaar zijn voor kwetsbaarheden. Gebruikers moeten bijwerken naar WinRar versie 7.13 of later, wat ten tijde van dit rapport de meest actuele versie was en fixes bevatte voor alle bekende kwetsbaarheden.
