Kwetsbaarheid in WinRAR actief gebruikt door aan Rusland gelieerde groep RomCom
De aan Rusland gelieerde groep RomCom maakt actief gebruik van een nieuw ontdekte kwetsbaarheid in de compressiesoftware WinRAR, meldt ESET. Volgens telemetrie van het beveiligingsbedrijf zetten de groep kwaadaardige WinRAR-archieven in voor spearphishing-campagnes tussen 18 en 21 juli 2025. Deze campagnes waren gericht op bedrijven in de financiële, productie-, defensie- en logistieke sector in Europa en Canada, met als doel cyberespionage.
ESET-onderzoeker Peter Strýček, die de ontdekking deed samen met collega-onderzoeker Anton Cherepanov, licht toe: “Op 18 juli zagen we een kwaadaardige DLL genaamd msedge.dll in een RAR-archief met ongebruikelijke paden die onze aandacht trokken. Na verdere analyse ontdekten we dat de aanvallers een tot dan toe onbekende kwetsbaarheid misbruikten die van invloed was op WinRAR, inclusief de toen actuele versie 7.12. Op 24 juli namen we contact op met de ontwikkelaar van WinRAR; diezelfde dag werd de kwetsbaarheid opgelost in een bètaversie en enkele dagen later volgde de volledige versie. We raden WinRAR-gebruikers aan om zo snel mogelijk de nieuwste versie te installeren om het risico te beperken."
Vermomd als een sollicitatiedocument
De kwetsbaarheid, CVE-2025-8088, is een path traversal-kwetsbaarheid die mogelijk wordt gemaakt door het gebruik van alternate data streams. Vermomd als een sollicitatiedocument maakten de schadelijke archieven misbruik van een path traversal-fout om doelwitten te compromitteren. In de spearphishing-e-mail stuurden de aanvallers een cv in de hoop dat een nieuwsgierige ontvanger dit zou openen. Volgens ESET-telemetrie is geen van de doelwitten daadwerkelijk gecompromitteerd, hoewel de aanvallers vooraf verkenning hadden uitgevoerd en de e-mails zeer gericht waren. Bij succesvolle exploitpogingen werden verschillende backdoors van de RomCom-groep ingezet, waarbij het specifiek gaat om een SnipBot-variant, RustyClaw en de Mythic agent.
ESET Research schrijft deze activiteiten met hoge zekerheid toe aan RomCom op basis van de regio’s, gebruikte tactieken, technieken en procedures (TTP’s) en de ingezette malware. RomCom, ook bekend als Storm-0978, Tropical Scorpius of UNC2596, is een aan Rusland gelieerde groep die zowel opportunistische campagnes tegen specifieke bedrijfstakken uitvoert als gerichte spionageoperaties. De focus van de groep is verschoven naar spionageactiviteiten voor inlichtingenvergaring, naast haar meer conventionele cybercrime-operaties.
De backdoor die de groep gebruikt, kan opdrachten uitvoeren en extra modules naar het getroffen apparaat downloaden. Het is niet de eerste keer dat RomCom exploits gebruikt om doelwitten te compromitteren. In juni 2023 voerde de groep een spearphishing-campagne uit tegen defensie- en overheidsinstanties in Europa, met lokmiddelen die gerelateerd waren aan het Oekraïense Wereldcongres. Meer informatie over de aanvalscampagnes die nu zijn ontdekt is hier te vinden.
Meer over Security
Over Wouter Hoeffnagel
