8 月 12 日消息,网络安全公司 ESET 昨日(8 月 11 日)发布博文,详细披露了追踪编号为 CVE-2025-8088 的 WinRAR 漏洞,且有证据表明有黑客组织 RomCom(又称 Storm-0978、Tropical Scorpius)正利用该漏洞攻击用户,向受害者电脑植入多种恶意软件。
此前报道,WinRAR 已于 2025 年 7 月 30 日发布补丁,并敦促 WinRAR 用户尽快升级到 7.13 及更高版本,以规避安全风险。
ESET 于 2025 年 7 月 18 日 8 日在分析可疑攻击样本后,识别出该漏洞并第一时间通报 WinRAR 开发方。
据 ESET 报告,攻击者通过构造特定 RAR 压缩包,利用 WinRAR 路径遍历缺陷,将恶意 DLL、EXE 及 LNK 文件隐藏于“备用数据流”(ADS)中。
在用户解压文件之后,这些恶意文件被提取到 % TEMP%、% LOCALAPPDATA% 等临时目录,以及 『Windows』 启动目录,从而实现在系统启动时自动运行恶意程序,部分 ADS 条目则故意指向无效路径,用于干扰用户视线,掩盖实际威胁。
ESET 进一步揭示了三条典型攻击链,分别对应 RomCom 旗下的三大恶意软件:Mythic Agent、SnipBot 及 MeltingClaw。攻击流程通常借助 『Windows』 快捷方式(LNK 文件)引导加载 DLL、解密并执行 Shellcode,最终建立与攻击者的远程控制(C2)通信,下载后续恶意模块。
Mythic Agent
SnipBot
MeltingClaw
值得注意的是,俄罗斯本土安全公司 Bi.Zone也监测到另一攻击团伙“Paper Werewolf”利用该漏洞实施类似攻击,显示 CVE-2025-8088 的利用已呈多发趋势。
2025 年 7 月 30 日,WinRAR 发布 7.13 版补丁修复 CVE-2025-8088 漏洞。然而,因其缺乏自动更新功能,用户需自行手动下载安装新版,导致补丁覆盖率有限。RarLab 公司称,除 ESET 技术通报外,并未收到用户实际遭遇攻击的反馈。
