Siber güvenlik şirketi ESET, WinRAR’da daha önce bilinmeyen bir sıfır gün güvenlik açığı tespit etti. Bu açık, Rusya bağlantılı RomCom grubu tarafından Avrupa ve Kanada’daki şirketlere yönelik saldırılarda kullanıldı.
ESET araştırmacıları, 18-21 Temmuz 2025 tarihleri arasında Avrupa ve Kanada’daki finans, üretim, savunma ve lojistik şirketlerini hedef alan hedef odaklı kimlik avı (spearphishing) kampanyalarında kötü amaçlı arşivlerin kullanıldığını belirtti. Saldırılarda CVE-2025-8088 adlı güvenlik açığı istismar edildi. Bu açık, alternatif veri akışlarının kullanılmasıyla mümkün olan bir yol geçiş güvenlik açığı olarak tanımlanıyor.
ESET araştırmacıları Peter Strýček ve Anton Cherepanov, 18 Temmuz’da dikkatlerini çeken bir RAR arşivinde msedge.dll adlı kötü amaçlı bir DLL dosyası tespit ettiklerini açıkladılar. Yapılan analizler sonucunda, saldırganların WinRAR’ı etkileyen ve o tarihteki 7.12 sürümünü de içeren, daha önce bilinmeyen bir güvenlik açığını kullandıkları belirlendi. ESET, 24 Temmuz’da WinRAR’ın geliştiricisiyle iletişime geçti ve aynı gün güvenlik açığı beta sürümünde düzeltildi, birkaç gün sonra ise tam sürüm yayımlandı.
Araştırmacılar, WinRAR kullanıcılarına riskleri azaltmak için en son sürümü en kısa sürede yüklemelerini tavsiye ediyor. Hedef alınan bölge, taktikler, teknikler ve prosedürler (TTP’ler) ile kullanılan kötü amaçlı yazılımlara dayanarak gözlemlenen faaliyetlerin RomCom’a ait olduğu tespit edildi.
RomCom (Storm-0978, Tropical Scorpius veya UNC2596 olarak da bilinir), seçilmiş iş sektörlerine karşı fırsatçı kampanyalar ve hedefli casusluk operasyonları yürüten Rusya bağlantılı bir grup olarak biliniyor. Grubun odak noktası, daha geleneksel siber suç operasyonlarının yanı sıra istihbarat toplayan casusluk operasyonlarını da içerecek şekilde değişmiş durumda.
ESET, WinRAR veya komut satırı yardımcı programlarının Windows sürümlerini kullananların, UnRAR.dll veya taşınabilir UnRAR kaynak kodu gibi diğer etkilenen bileşenleri kullananların güncellemelerini ivedilikle yapmalarını öneriyor.
