Ruská hackerská skupina RomCom využívala kritickou zranitelnost v populárním archivačním programu WinRAR k útokům na evropské a kanadské společnosti. Kybernetická bezpečnostní firma ESET odhalila sofistikovanou špionážní kampaň, která se zaměřovala na finanční, obranné, výrobní a logistické firmy.
Objevená chyba CVE-2025-8088 představuje takzvanou path traversal zranitelnost využívající alternativní datové proudy. Útočníci dokázali vytvořit speciálně upravené archivy, které přinutily WinRAR extrahovat soubory do cesty určené útočníkem namísto uživatelem zadaného umístění.
Hackeři z RomCom (známí také jako Storm-0978, Tropical Scorpius a UNC2596) zaslali cílené phishingové e-maily s infikovanými archivy maskovanými jako životopisy. Vysoká míra personalizace těchto zpráv naznačuje důkladnou předběžnou průzkumnou činnost útočníků.
ESET odhalil první útoky 18. července 2025. Žádná z cílených organizací nebyla kompromitována. V případě úspěchu měly speciálně vytvořené archivy nasadit různé backdoory včetně SnipBot, RustyClaw a Mythic Agent.
Rychlá reakce vývojářů WinRAR
Vývojáři WinRAR reagovali na hlášení ESETu s mimořádnou rychlostí. Pouhý den po oznámení, 25. července, vydali beta verzi s opravou. Finální aktualizace byla uvolněna 30. července 2025.
Foto: Freepik
Tato zranitelnost není ojedinělým případem. ESET upozorňuje na podobnost s nedávno opravenou CVE-2025-6218, která představovala stejný typ path traversal chyby. Podle ruské bezpečnostní firmy Bi.zone obě zranitelnosti využívala také skupina Paper Werewolf při útocích na ruské organizace.
Skupina RomCom si vybudovala pověst všestranných hackerů schopných kombinovat špionážní operace s kyberkriminalitou. Není to poprvé, kdy tato ruská skupina zneužívá zero-day zranitelnosti proti cílům v Evropě a Severní Americe.
Sofistikovaný přístup skupiny se projevuje nejen v technické stránce útoků, ale především v pečlivé přípravě. Personalizované phishingové e-maily s životopisy jako návnadou ukazují, že útočníci věnují značný čas studiu svých obětí.
Co by měli uživatelé a především firmy a instituce děšlat? V první řadě aktualizovat WinRAR na nejnovější verzi. Uživatelé by měli být obzvláště opatrní při otevírání archivů z neznámých zdrojů, zejména pokud přicházejí prostřednictvím e-mailu, pravidelně aktualizovat svá zařízení a používat antivirový software.
Zdroj: ESET, Bi.zone
