Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) vào thứ Ba đã thêm một lỗ hổng bảo mật ảnh hưởng đến tiện ích nén và lưu trữ tệp WinRAR vào danh mục Known Exploited Vulnerabilities (KEV) của mình, với bằng chứng về việc khai thác tích cực.
Lỗ hổng, được theo dõi là CVE-2025-6218 (điểm CVSS: 7.8), là một lỗi path traversal có thể cho phép thực thi mã. Tuy nhiên, để khai thác thành công, nó yêu cầu mục tiêu tiềm năng phải truy cập một trang độc hại hoặc mở một tệp độc hại.
"RARLAB WinRAR chứa lỗ hổng path traversal cho phép kẻ tấn công thực thi mã trong ngữ cảnh của người dùng hiện tại," CISA cho biết trong một cảnh báo.
Lỗ hổng này đã được RARLAB vá với phiên bản WinRAR 7.12 vào tháng 6 năm 2025. Nó chỉ ảnh hưởng đến các bản dựng dựa trên Windows. Các phiên bản của công cụ dành cho các nền tảng khác, bao gồm Unix và Android, không bị ảnh hưởng.
"Lỗ hổng này có thể bị khai thác để đặt các tệp vào các vị trí nhạy cảm — chẳng hạn như thư mục Windows Startup — có khả năng dẫn đến việc thực thi mã không mong muốn vào lần đăng nhập hệ thống tiếp theo," RARLAB lưu ý vào thời điểm đó.
Sự việc này diễn ra sau nhiều báo cáo từ BI.ZONE, Foresiet, SecPod và Synaptic Security, cho thấy lỗ hổng đã bị khai thác bởi ba nhóm tấn công khác nhau được theo dõi là GOFFEE (còn gọi là Paper Werewolf), Bitter (còn gọi là APT-C-08 hoặc Manlinghua) và Gamaredon.
Trong một phân tích được công bố vào tháng 8 năm 2025, nhà cung cấp an ninh mạng của Nga cho biết có những dấu hiệu cho thấy GOFFEE có thể đã khai thác CVE-2025-6218 cùng với CVE-2025-8088 (điểm CVSS: 8.8), một lỗ hổng path traversal khác trong WinRAR, trong các cuộc tấn công nhắm vào các tổ chức ở nước này vào tháng 7 năm 2025 thông qua các email phishing.
Kể từ đó, đã xuất hiện thông tin cho thấy Bitter APT tập trung vào Nam Á cũng đã vũ khí hóa lỗ hổng này để duy trì sự tồn tại trên máy chủ bị xâm nhập và cuối cùng thả một trojan C# thông qua một downloader nhẹ. Cuộc tấn công sử dụng một tệp lưu trữ RAR ("Provision of Information for Sectoral for AJK.rar") chứa một tài liệu Word lành tính và một mẫu macro độc hại.
"Tệp lưu trữ độc hại thả một tệp có tên Normal.dotm vào đường dẫn thư mục mẫu toàn cầu của Microsoft Word," Foresiet cho biết tháng trước. "Normal.dotm là một mẫu toàn cầu được tải mỗi khi Word được mở. Bằng cách thay thế tệp hợp pháp, kẻ tấn công đảm bảo mã macro độc hại của chúng tự động thực thi, cung cấp một backdoor dai dẳng bỏ qua việc chặn macro email tiêu chuẩn cho các tài liệu nhận được sau khi bị xâm nhập ban đầu."
Trojan C# được thiết kế để liên hệ với một máy chủ bên ngoài ("johnfashionaccess[.]com") cho mục đích command-and-control (C2) và cho phép keylogging, chụp ảnh màn hình, thu thập thông tin xác thực remote desktop protocol (RDP) và lấy cắp tệp. Người ta đánh giá rằng các tệp lưu trữ RAR được phát tán thông qua các cuộc tấn công spear-phishing.
Cuối cùng, nhưng không kém phần quan trọng, CVE-2025-6218 cũng đã bị một nhóm hacker Nga có tên Gamaredon khai thác trong các chiến dịch phishing nhắm vào các thực thể quân sự, chính phủ, chính trị và hành chính của Ukraine để lây nhiễm cho họ một mã độc được gọi là Pteranodon. Hoạt động này lần đầu tiên được quan sát vào tháng 11 năm 2025.
"Đây không phải là một chiến dịch cơ hội," một nhà nghiên cứu bảo mật có tên Robin cho biết. "Đây là một hoạt động gián điệp và phá hoại có cấu trúc, định hướng quân sự, phù hợp và có khả năng được điều phối bởi tình báo nhà nước Nga."
Đáng chú ý, kẻ tấn công cũng đã lạm dụng rộng rãi CVE-2025-8088, sử dụng nó để phát tán mã độc Visual Basic Script và thậm chí triển khai một wiper mới có tên mã GamaWiper.
"Điều này đánh dấu lần đầu tiên Gamaredon được quan sát thực hiện các hoạt động phá hoại thay vì các hoạt động gián điệp truyền thống của nó," ClearSky cho biết trong một bài đăng ngày 30 tháng 11 năm 2025 trên X.
Trước tình hình khai thác tích cực, các cơ quan Federal Civilian Executive Branch (FCEB) được yêu cầu áp dụng các bản vá cần thiết trước ngày 30 tháng 12 năm 2025 để bảo mật mạng lưới của họ.
