Google hôm thứ Ba tiết lộ rằng nhiều threat actor, bao gồm các đối thủ được nhà nước bảo trợ và các nhóm có động cơ tài chính, đang khai thác một lỗ hổng bảo mật nghiêm trọng đã được vá trong RARLAB WinRAR để thiết lập quyền truy cập ban đầu và triển khai nhiều loại payload khác nhau.
"Được phát hiện và vá lỗi vào tháng 7 năm 2025, các threat actor được chính phủ hậu thuẫn có liên quan đến Nga và Trung Quốc cũng như các threat actor có động cơ tài chính tiếp tục khai thác n-day này trong các hoạt động riêng biệt," Google Threat Intelligence Group (GTIG) cho biết.
"Phương pháp khai thác nhất quán, một lỗ hổng path traversal cho phép thả các tệp vào thư mục Windows Startup để duy trì quyền truy cập, nhấn mạnh một lỗ hổng phòng thủ trong bảo mật ứng dụng cơ bản và nhận thức của người dùng."
Lỗ hổng đang được đề cập là CVE-2025-8088 (điểm CVSS: 8.8), đã được vá bởi WinRAR phiên bản 7.13 phát hành vào ngày 30 tháng 7 năm 2025. Việc khai thác lỗ hổng thành công có thể cho phép kẻ tấn công thực thi mã tùy ý bằng cách tạo các tệp lưu trữ độc hại được mở bởi một phiên bản chương trình dễ bị tấn công.
ESET, đơn vị đã phát hiện và báo cáo lỗ hổng bảo mật này, cho biết họ đã quan sát thấy nhóm threat actor có động cơ kép về tài chính và gián điệp, được gọi là RomCom (hay CIGAR hoặc UNC4895), đã khai thác lỗ hổng này như một zero-day ngay từ ngày 18 tháng 7 năm 2025, để phân phối một biến thể của malware SnipBot (hay NESTPACKER). Đáng chú ý là Google đang theo dõi nhóm threat cluster đứng sau việc triển khai Cuba Ransomware dưới biệt danh UNC2596.
Kể từ đó, lỗ hổng đã bị khai thác rộng rãi, với các chuỗi tấn công thường che giấu tệp độc hại, chẳng hạn như Windows shortcut (LNK), bên trong các alternate data streams (ADS) của một tệp mồi bên trong kho lưu trữ, khiến payload được giải nén vào một đường dẫn cụ thể (ví dụ: thư mục Windows Startup) và tự động thực thi khi người dùng đăng nhập vào máy sau khi khởi động lại.
Các Threat Actor Nga khai thác lỗ hổng
Một số threat actor khác của Nga đã tham gia vào làn sóng khai thác được liệt kê dưới đây:
- Sandworm (còn gọi là APT44 và FROZENBARENTS), đã lợi dụng lỗ hổng để thả một tệp mồi với tên tệp tiếng Ukraina và một tệp LNK độc hại nhằm thực hiện các lượt tải xuống tiếp theo.
- Gamaredon (còn gọi là CARPATHIAN), đã lợi dụng lỗ hổng để tấn công các cơ quan chính phủ Ukraina bằng các tệp lưu trữ RAR độc hại chứa các tệp HTML Application (HTA) hoạt động như một downloader cho giai đoạn thứ hai.
- Turla (còn gọi là SUMMIT), đã lợi dụng lỗ hổng để phân phối bộ malware STOCKSTAY bằng cách sử dụng các mồi nhử xoay quanh các hoạt động quân sự và vận hành drone của Ukraina.
Các cuộc tấn công khác và thị trường Exploit
GTIG cho biết họ cũng đã xác định một actor có trụ sở tại Trung Quốc đang vũ khí hóa CVE-2025-8088 để phân phối Poison Ivy thông qua một batch script được thả vào thư mục Windows Startup, sau đó được cấu hình để tải xuống một dropper.
"Các threat actor có động cơ tài chính cũng nhanh chóng áp dụng lỗ hổng này để triển khai các RAT và information stealer thông thường chống lại các mục tiêu thương mại," họ nói thêm. Một số cuộc tấn công này đã dẫn đến việc triển khai các backdoor được điều khiển bằng Telegram bot và các họ malware như AsyncRAT và XWorm.
Trong một trường hợp khác được nhóm tình báo mối đe dọa của Google nhấn mạnh, một nhóm tội phạm mạng nổi tiếng với việc nhắm mục tiêu vào người dùng Brazil thông qua các trang web ngân hàng được cho là đã phân phối một Chrome extension độc hại có khả năng inject JavaScript vào các trang của hai trang web ngân hàng Brazil để phục vụ nội dung phishing và đánh cắp credential.
Việc khai thác rộng rãi lỗ hổng được đánh giá là kết quả của một nền kinh tế ngầm đang phát triển mạnh, nơi các exploit của WinRAR đã được rao bán với giá hàng ngàn đô la. Một nhà cung cấp như vậy, "zeroplayer," đã tiếp thị một exploit WinRAR vào khoảng thời gian đó, vài tuần trước khi CVE-2025-8088 được công khai.
"Hoạt động liên tục của zeroplayer với tư cách là nhà cung cấp exploit thượng nguồn cho thấy sự thương mại hóa liên tục của chu kỳ tấn công," GTIG cho biết. "Bằng cách cung cấp các khả năng sẵn sàng sử dụng, các actor như zeroplayer giảm độ phức tạp kỹ thuật và yêu cầu tài nguyên cho các threat actor, cho phép các nhóm với động cơ đa dạng [...] tận dụng một bộ khả năng đa dạng."
Sự phát triển này diễn ra khi một lỗ hổng WinRAR khác (CVE-2025-6218, điểm CVSS: 7.8) cũng đã chứng kiến các nỗ lực khai thác từ nhiều threat actor, bao gồm GOFFEE, Bitter và Gamaredon, nhấn mạnh mối đe dọa do các N-day vulnerability gây ra.
