ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), 10 Aralık 2025’te, WinRAR dosya arşivleme ve sıkıştırma aracındaki yol geçişi güvenlik açığını (CVE-2025-6218) Bilinen İstismar Edilen Güvenlik Açıkları (KEV) kataloğuna ekledi. Bu adım, açığın aktif olarak istismar edildiğine dair kanıtlar nedeniyle atıldı ve federal sivil yürütme organı (FCEB) kurumlarının 30 Aralık 2025’e kadar gerekli düzeltmeleri uygulaması zorunlu kılındı.
WinRAR 7.12 sürümü, RARLAB tarafından Haziran 2025’te yayınlanarak bu açığı giderdi. CVSS puanı 7.8 olan CVE-2025-6218, yalnızca Windows tabanlı sürümleri etkiliyor ve Unix ile Android platformları bundan muaf tutuldu. RARLAB, açığın saldırganlara mevcut kullanıcının bağlamında kod çalıştırma imkanı verdiğini kaydetti. İstismar için hedefin kötü niyetli bir sayfayı ziyaret etmesi veya dosya açması gerektiği belirtildi. Bu kusur, dosyaların Windows Başlangıç klasörü gibi hassas konumlara yerleştirilmesine yol açarak, bir sonraki sistem girişinde istenmeyen kod yürütülmesine neden olabilirdi.
BI.ZONE, Foresiet, SecPod ve Synaptic Security gibi kuruluşların raporlarına göre, bu açığın üç farklı tehdit aktörü tarafından istismar edildiği ortaya çıktı. Temmuz 2025’te Rusya merkezli GOFFEE (namı diğer Paper Werewolf) grubu, CVE-2025-6218’i, WinRAR’daki başka bir yol geçişi açığı olan CVE-2025-8088 (CVSS puanı 8.8) ile birlikte phishing e-postaları yoluyla Rusya’daki örgütlere karşı kullandı. Ağustos 2025’te yayınlanan analizde, bu istismarın phishing saldırılarında koordineli bir şekilde uygulandığı ifade edildi.
Güney Asya odaklı Bitter APT grubu (namı diğer APT-C-08 veya Manlinghua), açığı ele geçirilmiş konaklarda kalıcılık sağlamak üzere silahlandırdı. Hafif bir indirleyici aracılığıyla C# tabanlı bir truva atı bırakan grup, “Provision of Information for Sectoral for AJK.rar” adlı RAR arşivini kullandı. Bu arşiv, zararsız bir Word belgesi ve kötü niyetli bir makro şablonu içeriyordu. Foresiet, kötü niyetli arşivin Microsoft Word’ün küresel şablon yoluna Normal.dotm adlı bir dosya bıraktığını aktardı. Normal.dotm, Word’ün her açılışında yüklenen küresel bir şablon olduğundan, saldırganın makro kodunun otomatik olarak çalıştırılması sağlandı ve standart e-posta makro engelleme savunmalarını aştı. Bu sayede, ilk ihlal sonrası alınan belgeler için kalıcı bir arka kapı oluşturuldu.
C# truva atı, johnfashionaccess[.]com adresindeki komut ve kontrol (C2) sunucusuna bağlanarak anahtar vuruşu kaydı, ekran görüntüsü yakalama, Uzaktan Masaüstü Protokolü (RDP) kimlik bilgisi toplama ve dosya sızdırma yetenekleri sundu. RAR arşivlerinin mızrak phishing kampanyalarıyla yayıldığı değerlendirildi. Foresiet’in geçen ayki raporunda, bu saldırının ele geçirilmiş konaklarda kalıcılığın sağlanmasında kritik rol oynadığı kaydedildi.
Kasım 2025’te Rus hacker grubu Gamaredon, CVE-2025-6218’i Ukrayna’daki askeri, hükümet, siyasi ve idari kurumları hedefleyen phishing kampanyalarında kullandı. Bu saldırılarda Pteranodon adlı zararlı yazılım bulaştırıldı. Robin adlı güvenlik araştırmacısı, bu kampanyanın fırsatçı olmadığını, aksine Rus devlet istihbaratı tarafından koordine edilen yapılandırılmış bir askeri istihbarat ve sabotaj operasyonu olduğunu ifade etti. Gamaredon’un geleneksel casusluk faaliyetlerinin ötesinde yıkıcı eylemlere geçtiği gözlendi.
Grubun, CVE-2025-8088’i de yoğun şekilde kötüye kullandığı belirtildi. Bu açıkla kötü niyetli Visual Basic Script zararlı yazılımı dağıtıldı ve GamaWiper adlı yeni bir silici konuşlandırıldı. ClearSky, 30 Kasım 2025’teki X paylaşımında, Gamaredon’un ilk kez yıkıcı operasyonlar gerçekleştirdiğini kaydetti. Bu gelişme, grubun modus operandi’sinde önemli bir değişimi işaret ediyordu.
CISA’nın KEV kataloğuna eklemesiyle, açığın aktif istismarı resmen doğrulandı. Federal kurumlar, ağlarını güvence altına almak için WinRAR 7.12 veya sonrası sürümlere geçiş yapmak zorunda kaldı. RARLAB’ın Haziran 2025 yaması, Windows kullanıcılarını bu tehditlere karşı koruma altına aldı, ancak gecikmiş güncellemeler riski artırdı. Tehdit aktörlerinin phishing ve arşiv tabanlı yöntemlerle açığı istismar etmesi, siber güvenlik farkındalığının önemini bir kez daha vurguladı.
