ESET araştırmacıları, Winrar’da Rusya’ya uyumlu grup Romcom tarafından Wild’da sömürülen daha önce bilinmeyen bir güvenlik açığı keşfettiler. Winrar veya komut satırı araçlarının Windows sürümleri, unrar.dll veya taşınabilir unar kaynak kodu gibi ilgili bileşenleri kullanırsanız, hemen en son sürümüyle güncelleyin.
ESET telemetrisine göre, 18 Temmuz – 21 Temmuz 2025 arasında Avrupa ve Kanada’daki finans, üretim, savunma ve lojistik şirketlerini hedefleyen mızrakfileme kampanyalarında kötü niyetli arşivler kullanıldı. Saldırıların amacı sibersiz bir şeydi. Bu, en azından Romcom’un vahşi doğada önemli bir sıfır gün kırılganlığından yararlanarak yakalandığı üçüncü kez.
“18 Temmuz’da, dikkatimizi çeken olağandışı yollar içeren bir rar arşivinde Msedge.dll adlı kötü niyetli bir DLL gözlemledik. Daha fazla analiz üzerine, saldırganların Winrar’ı etkileyen daha önce bilinmeyen bir kırılganlıktan yararlandıklarını bulduk. 24 Temmuz’da, daha sonra Betise ile ilgili bir versiyonda, daha iyi bir versiyonda yer aldık. Winrar kullanıcıları, riski azaltmak için en kısa sürümü mümkün olan en kısa sürede yükleyecekler ”diyor. Güvenlik açığı, CVE-2025-8088, alternatif veri akışlarının kullanılmasıyla mümkün kılan bir yol geçiş güvenlik açığıdır.
Saldırganlar kötü niyetli arşivi bir uygulama belgesi olarak gizledi ve bir yol geçirme kusurundan yararlanmak için kullandı. Spearphishing e -postalarında, bir CV gibi görünen şeyi gönderdiler, birinin yem alıp açacağını umuyorlardı.
ESET, hedeflerin hiçbirinin gerçekten tehlikeye atılmadığını, ancak saldırganların ödevlerini açıkça yaptıklarını, kurbanlarını dikkatlice seçtiğini ve profilini yaptığını söylüyor. İstismar çalıştığında, bir Snipbot varyantı, Rustyclaw ve Mythic Agent dahil olmak üzere ROMCOM grubuna bağlı backdoors dağıttı.
Araştırmacılar, gözlemlenen faaliyetleri hedeflenen bölgeye, TTP’lere ve kullanılan kötü amaçlı yazılımlara dayalı olarak yüksek güvenle romcom’a bağlarlar. Romcom (Storm-0978, Tropikal Scorpius veya UNC2596 olarak da bilinir), hem seçilen iş sektörlerine karşı fırsatçı kampanyaları hem de hedeflenen casusluk operasyonlarına yönelik Rusya’ya uyumlu bir gruptur. Grubun odağı, daha geleneksel siber suç operasyonlarına paralel olarak istihbarat toplayan casusluk operasyonlarını içerecek şekilde değişti.
Grup tarafından kullanılan arka kapı, kurbanın makinesine komutlar yürütebilir ve ek modüller indirebilir. Romcom ilk kez kurbanlarını tehlikeye atmak için istismar kullanmadı. 2023-06’da grup, Ukrayna Dünya Kongresi ile ilgili yemleri ile Avrupa’da savunma ve devlet kuruluşlarını hedefleyen bir mızrak, bir kampanya gerçekleştirdi.
“Winrar’da daha önce bilinmeyen sıfır gün kırılganlığından yararlanarak, ROMCOM grubu, siberoperasyonlarına ciddi çaba ve kaynaklar yatırmaya istekli olduğunu göstermiştir. Keşfedilen kampanya, Rusça uyumlu APT gruplarının tipik çıkarları ile uyumlu ve operasyonun arkasındaki jeopolitik bir motivasyon öneren sektörleri hedef aldı” dedi.