WinRAR yazılımında daha önce bilinmeyen kritik bir sıfır gün güvenlik açığı tespit edildi. CVE-2025-8088 olarak kaydedilen bu açık, Rusya bağlantılı RomCom grubu tarafından Avrupa ve Kanada’daki şirketleri hedef alan saldırılarda istismar edildi.
Güvenlik açığı WinRAR’ın tüm sürümlerini etkiliyor
Siber güvenlik şirketi ESET’in açıklamasına göre, 18-21 Temmuz 2025 tarihleri arasında yürütülen hedef odaklı kimlik avı (spearphishing) kampanyalarında, özellikle finans, üretim, savunma ve lojistik sektörleri hedef alındı. Saldırılarda, silahlandırılmış RAR arşivleri üzerinden msedge.dll adlı kötü amaçlı bir dosya kullanıldı. Bu dosya, WinRAR’ın 7.12 sürümü dahil olmak üzere önceki sürümlerini etkileyen yol geçiş güvenlik açığını istismar etti.
ESET araştırmacıları Peter Strýček ve Anton Cherepanov, 24 Temmuz’da WinRAR geliştiricileriyle iletişime geçtiklerini, aynı gün açığın beta sürümde giderildiğini ve birkaç gün içinde tam sürüm güncellemesinin yayınlandığını bildirdi. Kullanıcılara, en kısa sürede güncelleme yapmaları gerektiği vurgulandı.
Saldırılarda, hedeflere genellikle CV dosyası görünümlü kötü amaçlı arşivler gönderildi. ESET telemetri verilerine göre, saldırılar hedefleri ele geçiremedi ancak kullanılan teknikler oldukça gelişmişti. Başarılı girişimlerde, SnipBot varyantı, RustyClaw ve Mythic ajanı gibi arka kapı yazılımları yüklenebiliyor.
RomCom, daha önce de istismar yöntemleriyle dikkat çekmiş bir grup. Haziran 2023’te, Ukrayna Dünya Kongresi ile ilgili oltalama kampanyaları yürütmüş ve Avrupa’daki savunma ile hükümet kurumlarını hedef almıştı. Grubun faaliyetleri, jeopolitik motivasyon barındıran siber casusluk operasyonlarıyla örtüşüyor.
ESET, bu kampanyanın RomCom’un üçüncü kez önemli bir sıfır gün açığını istismar ettiği olay olduğunu belirterek, tüm kullanıcıların ve kurumların WinRAR’ı en güncel sürüme yükseltmelerinin kritik olduğunu hatırlattı.
