WinRAR-sårbarhed udnyttes bredt

I går rapporterede vi, at den kritiske WinRAR-sårbarhed CVE-2025-8088 var blevet udnyttet i angreb mod russiske organisationer. Nu viser nye oplysninger, at sårbarheden også er blevet anvendt i målrettede angreb mod virksomheder i Europa og Canada – herunder aktører inden for finans, forsvar, produktion og logistik. 

Det skriver Security Week.

RomCom står bag angreb mod vestlige mål

Det er naturligvis ikke overraskende, at angreb ramme begge sider af en konflikt, da sårbarhedsudnyttelse er en global trend. 

I denne omgang er angrebene tilskrevet den russisk-tilknyttede trusselsaktør RomCom, også kendt som Storm-0978 og Tropical Scorpius. Gruppen har tidligere været involveret i både spionage og cyberkriminalitet og har nu udnyttet CVE-2025-8088 i en kampagne, der begyndte i midten af juli.

Angrebene blev udført via målrettede phishing-e-mails, hvor skadelige .rar-arkiver blev forklædt som jobansøgninger. Arkiverne var designet til at installere bagdøre som SnipBot, RustyClaw og Mythic Agent, hvis de blev åbnet.

Ifølge ESET blev ingen af de vestlige mål kompromitteret, men angrebenes præcision og omfang vidner om, at der hos RomCom er en høj grad af teknisk kapacitet, skriver Security Week.

Udnyttelser på begge sider foregår big time

At sårbarheden udnyttes af flere aktører – og mod både russiske og vestlige mål understreger, at sårbarheder hurtigt bliver en del af et globalt trusselsbillede, hvor både statslige og kriminelle aktører opererer på tværs af geografiske og politiske skel. Så fordi en sårbarhed udnyttes mod én side af en konflikt, betyder det ikke, at den ikke også bliver udnyttet mod den anden.

Man kan med andre ord ikke ånde lettet op, men snarere se alle udnyttelser af sårbarheder som man selv har, som forvarsel på at man også selv kan komme i skudlinjen.

Anbefalingen er fortsat at opdatere til WinRAR til version 7.13 eller nyere som et minimum.