ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), Salı günü, WinRAR dosya arşivleyicisini ve sıkıştırma yardımcı programını etkileyen bir güvenlik kusurunu, aktif istismarın kanıtlarını öne sürerek Bilinen Açıklardan Yararlanan Güvenlik Açıkları (KEV) kataloğuna ekledi.
Şu şekilde izlenen güvenlik açığı: CVE-2025-6218 (CVSS puanı: 7,8), kod yürütülmesine olanak tanıyan bir yol geçiş hatasıdır. Ancak istismarın başarılı olması için potansiyel hedefin kötü amaçlı bir sayfayı ziyaret etmesi veya kötü amaçlı bir dosyayı açması gerekir.
CISA bir uyarıda, “RARLAB WinRAR, bir saldırganın mevcut kullanıcı bağlamında kod yürütmesine olanak tanıyan bir yol geçiş güvenlik açığı içeriyor” dedi.
Güvenlik açığı, Haziran 2025’te RARLAB tarafından WinRAR 7.12 ile yamandı. Yalnızca Windows tabanlı yapıları etkiler. Aracın Unix ve Android dahil diğer platformlara yönelik sürümleri etkilenmez.
RARLAB, “Bu kusur, dosyaları Windows Başlangıç klasörü gibi hassas konumlara yerleştirmek için kullanılabilir ve potansiyel olarak bir sonraki sistem oturum açma işleminde istenmeyen kod yürütülmesine yol açabilir” dedi.
Gelişme, BI.ZONE, Foresiet, SecPod ve Synaptic Security’den gelen çok sayıda raporun ardından geldi; güvenlik açığı, GOFFEE (diğer adıyla Paper Werewolf), Bitter (diğer adıyla APT-C-08 veya Manlinghua) ve Gamaredon olarak takip edilen iki farklı tehdit aktörü tarafından kullanıldı.
Ağustos 2025’te yayınlanan bir analizde Rus siber güvenlik sağlayıcısı, Temmuz 2025’te kimlik avı e-postaları yoluyla ülkedeki kuruluşları hedef alan saldırılarda GOFFEE’nin CVE-2025-6218 ile birlikte WinRAR’daki başka bir yol geçiş kusuru olan CVE-2025-8088’den (CVSS puanı: 8,8) yararlanılabileceğine dair göstergeler bulunduğunu söyledi.
O zamandan bu yana, Güney Asya odaklı Bitter APT’nin, güvenliği ihlal edilen ana bilgisayarda kalıcılığı kolaylaştırmak ve sonuçta hafif bir indirici aracılığıyla bir C# truva atını düşürmek için güvenlik açığını silah haline getirdiği ortaya çıktı. Saldırı, zararsız bir Word belgesi ve kötü amaçlı bir makro şablonu içeren bir RAR arşivinden (“AJK.rar için Sektörel Bilgi Sağlama”) yararlanıyor.
Foresiet geçen ay “Kötü amaçlı arşiv, Normal.dotm adlı bir dosyayı Microsoft Word’ün genel şablon yoluna bırakıyor” dedi. “Normal.dotm, Word her açıldığında yüklenen genel bir şablondur. Saldırgan, meşru dosyayı değiştirerek kötü amaçlı makro kodunun otomatik olarak yürütülmesini sağlar ve ilk güvenlik ihlalinden sonra alınan belgeler için standart e-posta makro engellemesini aşan kalıcı bir arka kapı sağlar.”
C# truva atı, harici bir sunucuyla (“johnfashionaccess[.]Komut ve kontrol (C2) için “.com”) ve keylogging, ekran görüntüsü yakalama, uzak masaüstü protokolü (RDP) kimlik bilgileri toplama ve dosya sızmasını etkinleştirin. RAR arşivlerinin hedef odaklı kimlik avı saldırıları yoluyla yayıldığı değerlendirilmektedir.
Son olarak, CVE-2025-6218, Gamaredon olarak bilinen bir Rus bilgisayar korsanlığı grubu tarafından, Ukrayna’nın askeri, resmi, siyasi ve idari birimlerini hedef alan kimlik avı kampanyalarında, onlara Pteranodon olarak adlandırılan bir kötü amaçlı yazılım bulaştırmak amacıyla da kullanıldı. Etkinlik ilk olarak Kasım 2025’te gözlemlendi.
Robin ismiyle anılan bir güvenlik araştırmacısı, “Bu fırsatçı bir kampanya değil” dedi. “Bu, Rus devlet istihbaratıyla tutarlı ve muhtemelen onun tarafından koordine edilen, yapılandırılmış, askeri odaklı bir casusluk ve sabotaj operasyonudur.”
Düşmanın aynı zamanda CVE-2025-8088’i kötü amaçlı Visual Basic Script kötü amaçlı yazılımlarını dağıtmak için kullanarak ve hatta GamaWiper kod adlı yeni bir temizleyiciyi konuşlandırarak kapsamlı bir şekilde kötüye kullandığını belirtmekte fayda var.
ClearSky, 30 Kasım 2025’te X’te yayınlanan bir gönderide, “Bu, Gamaredon’un geleneksel casusluk faaliyetlerinden ziyade yıkıcı operasyonlar yürüttüğü gözlemlenen ilk örneği işaret ediyor” dedi.
Aktif kullanım ışığında, Federal Sivil Yürütme Organı (FCEB) kurumlarının ağlarının güvenliğini sağlamak için 30 Aralık 2025’e kadar gerekli düzeltmeleri uygulaması gerekmektedir.