• Gebruikt u WinRAR of andere componenten zoals de Windows-versies van de opdrachtregelprogramma's UnRAR.dll of de draagbare UnRAR-broncode? Upgrade dan onmiddellijk naar de nieuwste versie.
• ESET Research heeft een tot nu toe onbekende zero-day-kwetsbaarheid in WinRAR ontdekt die in het wild door de aan Rusland gelinkte groep RomCom wordt gebruikt.
• Analyse van de exploit leidde tot de ontdekking van de kwetsbaarheid, die nu als CVE-2025-8088 is gekend: een ‘path traversal’ kwetsbaarheid
· Succesvolle exploitpogingen leverden diverse backdoors op die door de RomCom-groep werden gebruikt, zoals een SnipBot-variant, RustyClaw en de Mythic-agent.
· Deze campagne was gericht op Europese en Canadese bedrijven uit de financiële, productie-, defensie- en logistieke sector.
Bratislava, 12 augustus 2025 — ESET Research heeft een tot nu toe onbekende kwetsbaarheid in WinRAR ontdekt, die in het wild wordt gebruikt door de aan Rusland gelinkte RomCom-groep. Volgens de ESET-telemetrie werden tussen 18 en 21 juli 2025 kwaadaardige archieven gebruikt in spearphishingcampagnes, gericht op Europese en Canadese bedrijven uit de financiële, productie-, defensie- en logistieke sector met cyberespionage als doel. Dit is ten minste de derde keer dat RomCom betrapt werd op het gebruik van een belangrijke zero-day kwetsbaarheid in het wild.
“Op 18 juli ontdekten we een kwaadaardige DLL met de naam msedge.dll in een RAR-archief met ongebruikelijke paden die onze aandacht trok. Na verdere analyse zagen we dat de aanvallers een voorheen onbekende kwetsbaarheid gebruikten die WinRAR trof, waaronder de toenmalige versie 7.12. Op 24 juli contacteerden we de ontwikkelaar van WinRAR; die dag werd de kwetsbaarheid in de bètaversie bijgewerkt en een paar dagen later werd een volledige versie uitgebracht. We adviseren WinRAR-gebruikers om zo snel mogelijk de nieuwste versie te installeren en zo het risico te beperken”, aldus ESET-onderzoeker Peter Strýček, die dit ontdekte samen met Anton Cherepanov, eveneens een ESET-onderzoeker. De kwetsbaarheid, CVE-2025-8088, is een ‘path traversal’-kwetsbaarheid, die mogelijk wordt gemaakt door het gebruik van alternatieve gegevensstromen.
Vermomd als een sollicitatiedocument, maakten de gewapende archieven gebruik van een ‘path traversal’ flow om hun doelwitten te compromitteren. In de spearphishing-mail werd een cv gestuurd, in de hoop dat een nieuwsgierig doelwit deze zou openen. Volgens de ESET-telemetrie was geen enkel doelwit gecompromitteerd. De aanvallers hadden al vooraf verkenningen uitgevoerd en de e-mails waren zeer doelgericht. Succesvolle exploitpogingen leverden verschillende backdoors op die door RomCom werden gebruikt, zoals een SnipBot-variant, RustyClaw en de Mythic-agent.
Met grote zekerheid schrijft ESET Research de waargenomen activiteiten toe aan RomCom op basis van de doelregio, tactieken, technieken en procedures (TTP’s) en de gebruikte malware. RomCom (ook bekend als Storm-0978, Tropical Scorpius of UNC2596) is een aan Rusland gelinkte groep die zowel opportunistische campagnes tegen geselecteerde verticale markten als gerichte spionageopdrachten uitvoert. De focus van de groep is verschoven naar spionageoperaties die inlichtingen verzamelen, alsook naar meer conventionele cybercriminaliteitsoperaties. De backdoor die door de groep wordt gebruikt, kan opdrachten uitvoeren en extra modules downloaden naar de computer van het slachtoffer. Het is niet de eerste keer dat RomCom exploits gebruikt om zijn slachtoffers te compromitteren. In juni 2023 voerde de groep een spearphishingcampagne uit gericht was tegen defensie- en overheidsinstanties in Europa, met lokkertjes in verband met het Oekraïense Wereldcongres.
“Door een voorheen onbekende zero-day-kwetsbaarheid in WinRAR te misbruiken, heeft de RomCom-groep laten zien, bereid te zijn om ernstige inspanningen en middelen te investeren in hun cyberoperaties. De ontdekte campagne richtte zich op sectoren die aansluiten bij de typische belangen van aan Rusland gelinkte APT-groepen, wat wijst op een geopolitieke motivatie”, concludeert Strýček.
Voor een meer gedetailleerde en technische analyse van RomCom’s nieuwste campagne, ga naar de nieuwste blog van ESET Research “Update WinRAR tools now: RomCom and others exploiting zero-day vulnerability” op www.WeLiveSecurity.com. Volg ESET Research op Twitter (today known as X), BlueSky, en Mastodon) voor de nieuwste informatie over ESET Research.
Meer lezen
