Исследователи ESET обнаружили ранее неизвестную уязвимость в WinRAR, которую в эксплуатирует связанная с Россией группировка RomCom. Если вы используете WinRAR или связанные с ним компоненты, такие как Windows-версии его инструментов командной строки, UnRAR.dll или портативный исходный код UnRAR, немедленно обновитесь до последней версии.
Согласно данным телеметрии ESET, вредоносные архивы использовались в кампаниях по спирфишингу в период с 18 по 21 июля 2025 года, направленных на финансовые, производственные, оборонные и логистические компании в Европе и Канаде. Целью атак был кибершпионаж. Это уже как минимум третий случай, когда компания RomCom попадается на эксплуатации значительной уязвимости нулевого дня.
18 июля мы обнаружили вредоносную DLL под названием msedge.dll в RAR-архиве с необычными путями, которые привлекли наше внимание. После дальнейшего анализа мы обнаружили, что злоумышленники использовали ранее неизвестную уязвимость, затрагивающую WinRAR, включая актуальную на тот момент версию 7.12. 24 июля мы связались с разработчиком WinRAR; в тот же день уязвимость была устранена в бета-версии, а полная версия вышла несколько дней спустя. Мы советуем пользователям WinRAR как можно скорее установить последнюю версию, чтобы снизить риск, – говорит исследователь ESET Петер Стрычек, сделавший это открытие вместе с другим исследователем ESET Антоном Черепановым. Уязвимость, CVE-2025-8088, представляет собой уязвимость обхода пути, которая становится возможной благодаря использованию альтернативных потоков данных.
Злоумышленники маскировали вредоносный архив под документ приложения и использовали его для эксплуатации дефекта обхода пути. Они отправляли письма, похожие на резюме, в надежде, что кто-то клюнет на приманку и откроет их.
По данным ESET, ни одна из целей не была скомпрометирована, но злоумышленники явно проделали домашнюю работу, тщательно выбирая и составляя профиль своих жертв. Когда эксплойт срабатывал, он разворачивал бэкдоры, связанные с группой RomCom, включая вариант SnipBot, RustyClaw и агент Mythic.
Исследователи с высокой степенью уверенности приписывают наблюдаемые действия RomCom, основываясь на целевом регионе, ТТП и используемом вредоносном ПО. RomCom (также известная как Storm-0978, Tropical Scorpius или UNC2596) – это связанная с Россией группа, которая проводит как оппортунистические кампании против отдельных вертикалей бизнеса, так и целенаправленные операции шпионажа. Параллельно с более традиционными операциями по борьбе с киберпреступностью группировка проводит шпионские операции по сбору разведданных.
Используемый группировкой бэкдор способен выполнять команды и загружать дополнительные модули на компьютер жертвы. Это не первый случай, когда RomCom использует эксплойты для компрометации своих жертв. В 2023-06 годах группа провела спирфишинговую кампанию, направленную на оборонные и правительственные организации в Европе, с приманками, связанными с Украинским всемирным конгрессом.
Используя ранее неизвестную уязвимость нулевого дня в WinRAR, группа RomCom продемонстрировала, что готова вкладывать серьезные усилия и ресурсы в свои кибероперации. Обнаруженная кампания была направлена на секторы, которые соответствуют типичным интересам APT-групп, связанных с Россией, что позволяет предположить геополитическую мотивацию операции, – заключает Стрычек.