De Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft dinsdag een beveiligingsfout die van invloed is op het bestandsarchiverings- en compressiehulpprogramma WinRAR toegevoegd aan de Known Exploited Vulnerabilities (KEV)-catalogus, daarbij verwijzend naar bewijs van actieve exploitatie.
De kwetsbaarheid, bijgehouden als CVE-2025-6218 (CVSS-score: 7,8), is een pad-traversal-bug die code-uitvoering mogelijk zou kunnen maken. Om de exploitatie te laten slagen, is het echter nodig dat een potentieel doelwit een kwaadaardige pagina bezoekt of een schadelijk bestand opent.
“RARLAB WinRAR bevat een kwetsbaarheid bij het doorlopen van paden waardoor een aanvaller code kan uitvoeren in de context van de huidige gebruiker”, aldus CISA in een waarschuwing.
Het beveiligingslek is in juni 2025 door RARLAB gepatcht met WinRAR 7.12. Het heeft alleen invloed op Windows-gebaseerde builds. Versies van de tool voor andere platforms, waaronder Unix en Android, worden niet beïnvloed.
“Deze fout zou kunnen worden misbruikt om bestanden op gevoelige locaties te plaatsen, zoals de Windows Opstartmap, wat mogelijk kan leiden tot onbedoelde code-uitvoering bij de volgende systeemaanmelding”, merkte RARLAB destijds op.
De ontwikkeling komt in de nasleep van meerdere rapporten van BI.ZONE, Foresiet, SecPod en Synaptic Security. De kwetsbaarheid is uitgebuit door twee verschillende bedreigingsactoren die worden gevolgd als GOFFEE (ook bekend als Paper Werewolf), Bitter (ook bekend als APT-C-08 of Manlinghua) en Gamaredon.
In een analyse die in augustus 2025 werd gepubliceerd, zei de Russische cyberbeveiligingsleverancier dat er aanwijzingen zijn dat GOFFEE mogelijk misbruik maakt van CVE-2025-6218 samen met CVE-2025-8088 (CVSS-score: 8,8), een andere fout in WinRAR, bij aanvallen gericht op organisaties in het land in juli 2025 via phishing-e-mails.
Sindsdien is gebleken dat het op Zuid-Azië gerichte Bitter APT de kwetsbaarheid ook heeft aangewend om de persistentie op de gecompromitteerde host te vergemakkelijken en uiteindelijk een C#-trojan te droppen door middel van een lichtgewicht downloader. De aanval maakt gebruik van een RAR-archief (“Provision of Information for Sectoral for AJK.rar”) dat een goedaardig Word-document en een kwaadaardige macrosjabloon bevat.
“Het kwaadaardige archief plaatst een bestand met de naam Normal.dotm in het globale sjabloonpad van Microsoft Word”, zei Foresiet vorige maand. “Normal.dotm is een globale sjabloon die elke keer wordt geladen als Word wordt geopend. Door het legitieme bestand te vervangen, zorgt de aanvaller ervoor dat zijn kwaadaardige macrocode automatisch wordt uitgevoerd, waardoor een aanhoudende achterdeur ontstaat die de standaard blokkering van e-mailmacro’s omzeilt voor documenten die worden ontvangen na de aanvankelijke aanval.”
De C#-trojan is ontworpen om contact te maken met een externe server (“johnfashionaccess(.)com”) voor command-and-control (C2) en keylogging, screenshot-opname, het verzamelen van inloggegevens op afstand (RDP) en bestandsexfiltratie mogelijk te maken. Er wordt vastgesteld dat de RAR-archieven worden verspreid via spearphishing-aanvallen.
Last but not least is CVE-2025-6218 ook uitgebuit door een Russische hackgroep die bekend staat als Gamaredon in phishing-campagnes gericht op Oekraïense militaire, gouvernementele, politieke en administratieve entiteiten om hen te infecteren met malware die Pteranodon wordt genoemd. De activiteit werd voor het eerst waargenomen in november 2025.
“Dit is geen opportunistische campagne”, zei een veiligheidsonderzoeker met de naam Robin. “Het is een gestructureerde, militair georiënteerde spionage- en sabotageoperatie die consistent is met en waarschijnlijk wordt gecoördineerd door de Russische staatsinlichtingendienst.”
Het is vermeldenswaard dat de tegenstander CVE-2025-8088 ook op grote schaal heeft misbruikt, door het te gebruiken om kwaadaardige Visual Basic Script-malware te leveren en zelfs een nieuwe wiper met de codenaam GamaWiper te implementeren.
“Dit is het eerste waargenomen voorbeeld van Gamaredon die destructieve operaties uitvoert in plaats van zijn traditionele spionageactiviteiten”, zei ClearSky in een bericht van 30 november 2025 op X.
In het licht van actieve uitbuiting zijn de agentschappen van de Federal Civilian Executive Branch (FCEB) verplicht om vóór 30 december 2025 de nodige oplossingen aan te brengen om hun netwerken te beveiligen.
