Google heeft dinsdag onthuld dat meerdere bedreigingsactoren, waaronder tegenstanders van natiestaten en financieel gemotiveerde groepen, een nu gepatcht kritiek beveiligingslek in RARLAB WinRAR exploiteren om initiële toegang tot stand te brengen en een breed scala aan payloads in te zetten.
“Ontdekt en gepatcht in juli 2025, blijven door de overheid gesteunde dreigingsactoren die banden hebben met Rusland en China, evenals financieel gemotiveerde dreigingsactoren deze dag in verschillende operaties misbruik maken van deze n-day”, aldus de Google Threat Intelligence Group (GTIG).
“De consistente exploitatiemethode, een fout bij het doorlopen van paden waardoor bestanden in de Windows Startup-map kunnen worden neergezet voor persistentie, onderstreept een defensieve leemte in fundamentele applicatiebeveiliging en gebruikersbewustzijn.”
De kwetsbaarheid in kwestie is CVE-2025-8088 (CVSS-score: 8.8), die werd gepatcht door WinRAR versie 7.13, uitgebracht op 30 juli 2025. Succesvol misbruik van de fout zou een aanvaller in staat kunnen stellen willekeurige code uit te voeren door kwaadaardige archiefbestanden te maken die worden geopend door een kwetsbare versie van het programma.
ESET, dat het beveiligingsfout ontdekte en rapporteerde, zei dat het de dubbele financiële en door spionage gemotiveerde dreigingsgroep bekend als RomCom (ook bekend als CIGAR of UNC4895) al op 18 juli 2025 als zero-day had zien misbruiken om een variant van de SnipBot-malware (ook wel NESTPACKER) te leveren.
Het is vermeldenswaard dat Google het dreigingscluster volgt achter de inzet van Cuba Ransomware, waarvan ook bekend is dat het RomCom RAT gebruikt, onder de naam UNC2596. Rapporten wijzen op mogelijke verbindingen tussen de exploitanten van UNC2596, UNC4895 en een marktplaats voor gegevensafpersing genaamd Industrial Spy.
Sindsdien wordt de kwetsbaarheid op grote schaal uitgebuit, waarbij aanvalsketens doorgaans het kwaadaardige bestand verbergen, zoals een Windows-snelkoppeling (LNK), binnen de alternatieve datastromen (ADS) van een lokbestand in het archief, waardoor de payload wordt uitgepakt naar een specifiek pad (bijvoorbeeld de map Opstarten van Windows) en dit automatisch wordt uitgevoerd zodra de gebruiker zich na een herstart op de machine aanmeldt.
Enkele van de andere Russische dreigingsactoren die zich bij de uitbuitingswagen hebben aangesloten, worden hieronder vermeld:
- Sandworm (ook bekend als APT44 en FROZENBARENTS), die de fout heeft benut om een lokbestand met een Oekraïense bestandsnaam en een kwaadaardig LNK-bestand te plaatsen dat verdere downloads probeert
- Gamaredon (ook bekend als CARPATHIAN), dat de fout heeft benut om Oekraïense overheidsinstanties te treffen met kwaadaardige RAR-archieven met HTML-applicatiebestanden (HTA) die fungeren als downloader voor een tweede fase
- Turla (ook bekend als SUMMIT), dat de fout heeft benut om de STOCKSTAY-malwaresuite te leveren met behulp van kunstaas gericht op Oekraïense militaire activiteiten en drone-operaties
GTIG zei dat het ook een in China gevestigde acteur heeft geïdentificeerd die CVE-2025-8088 bewapent om Poison Ivy af te leveren via een batchscript dat in de Windows Startup-map wordt geplaatst en vervolgens wordt geconfigureerd om een dropper te downloaden.
“Financieel gemotiveerde dreigingsactoren namen ook snel de kwetsbaarheid over om commodity RAT’s en informatiestelers in te zetten tegen commerciële doelen”, voegde het eraan toe. Sommige van deze aanvallen hebben geleid tot de inzet van door Telegram botgestuurde backdoors en malwarefamilies zoals AsyncRAT en XWorm.
In een ander geval dat door het dreigingsinformatieteam van Google wordt benadrukt, zou een cybercriminaliteitsgroep die bekend staat om het aanvallen van Braziliaanse gebruikers via bankwebsites een kwaadaardige Chrome-extensie hebben geleverd die JavaScript in de pagina’s van twee Braziliaanse bankenites kan injecteren om phishing-inhoud aan te bieden en inloggegevens te stelen.
Er wordt aangenomen dat de grootschalige exploitatie van de fout het gevolg is van een bloeiende ondergrondse economie, waar voor duizenden dollars reclame wordt gemaakt voor WinRAR-exploits. Eén zo’n leverancier, ‘zeroplayer’, bracht rond dezelfde tijd een WinRAR-exploit op de markt in de weken die leidden tot de publieke bekendmaking van CVE-2025-8088.
“De voortdurende activiteiten van Zeroplayer als upstream-leverancier van exploits benadrukken de voortdurende commoditisering van de aanvalslevenscyclus”, aldus GTIG. “Door kant-en-klare capaciteiten aan te bieden, verminderen actoren zoals zeroplayer de technische complexiteit en de vraag naar middelen voor bedreigingsactoren, waardoor groepen met verschillende motivaties (…) een gevarieerde reeks capaciteiten kunnen benutten.”
De ontwikkeling komt omdat een andere WinRAR-kwetsbaarheid (CVE-2025-6218, CVSS-score: 7,8) ook getuige is geweest van exploitatie-inspanningen van meerdere bedreigingsactoren, waaronder GOFFEE, Bitter en Gamaredon, wat de dreiging van N-day-kwetsbaarheden onderstreept.
