به نظر میرسد یک آسیبپذیری روز صفر خطرناک در نرمافزار فشردهساز WinRAR توسط دو گروه سایبری روسی مورد سوءاستفاده قرار گرفته است.
به گزارش Arstechnica، این حملات علیه کامپیوترهایی انجام شده که فایلهای فشرده مخرب در پیامهای فیشینگ را باز میکردند. بعضی از این پیامها شخصیسازی شده بودند. هکرها با این حملات در کامپیوتر قربانی در پشتی (Backdoor) ایجاد میکردند. شرکت ESET روز دوشنبه اعلام کرد که برای نخستین بار در تاریخ ۱۸ ژوئیه و زمانی که سامانه تلهمتری این شرکت یک فایل را در مسیری غیرمعمول از دایرکتوریها دیده بود، این حملات را شناسایی کرده است،
به گفته این شرکت، تا ۲۴ ژوئیه، مشخص شد که این رفتار به سوءاستفاده از یک آسیبپذیری ناشناخته در WinRAR ارتباط دارد. ESET همان روز این موضوع را به توسعهدهندگان WinRAR اطلاع داد و ۶ روز بعد نیز یک پچ امنیتی برای رفع مشکل منتشر شد.
به نظر میرسد که این آسیبپذیری خطرناک کامپیوترهای ویندوزی را تحت تأثیر قرار داده است. همچنین مهاجمان از قابلیت Alternate Data Streams ویندوز که امکان ارائه مسیرهای مختلف برای یک فایل یکسان را فراهم میکند، استفاده کردهاند.
ESET اعلام کرد که این حملات از سوی گروه RomCom انجام شده است. RomCom نام یک گروه هکری با انگیزه مالی و فعال در روسیه است. این گروه که از منابع قابلتوجهی نیز برخوردار است، در سالیان گذشته حملاتی را اجرا کرده که توانایی آن در استفاده از اکسپلویتها و اجرای تاکتیکهای نسبتاً پیشرفته را نشان میدهد. آسیبپذیری روز صفر مورد استفاده این گروه اکنون با شناسه CVE-2025-8088 شناخته میشود.
به گفته ESET: «این حداقل دومین باری است که RomCom از یک آسیبپذیری روز صفر در جهان واقعی استفاده کرده است. این اتفاق بر تمرکز مداوم این گروه برای بهرهگیری از آسیبپذیریها بهمنظور انجام حملات هدفمند تأکید میکند.»
البته RomCom تنها گروهی نیست که از آسیبپذیری CVE-2025-8088 سوءاستفاده کرده است. براساس اعلام شرکت امنیتی روسی Bi.ZONE، این آسیبپذیری توسط گروهی که این شرکت با نام Paper Werewolf از آن یاد کرده نیز مورد سوءاستفاده قرار گرفته است. این گروه که با نام GOFFEE نیز شناخته میشود، از CVE-2025-6218 که یک آسیبپذیری قدیمی با شدت بالا در WinRAR بود نیز سوءاستفاده کرده است.
