近日,安全公司ESET公布报告,详细揭示WinRAR归档工具存在的路径遍历零日漏洞(CVE-2025-8088)被俄罗斯网络间谍组织RomCom(又称Storm-0978和Tropical Scorpius)恶意利用,以传播多种恶意软件。点击查看详细报告。
据ESET披露,早在2025年7月18日便发现RomCom利用该漏洞发起攻击,攻击者通过精心构造的RAR压缩包,将带有隐藏恶意DLL、快捷方式(LNK文件)等有效负载的Alternate Data Stream(ADS)植入特定目录。其中,Windows快捷方式被投放至系统启动文件夹,确保受害者下次登录时自动执行恶意软件。
该漏洞于7月30日通过WinRAR 7.13版本修复,但ESET证实漏洞在补丁发布前已有黑客大规模利用。目前记录到的攻击链涉及三种RomCom已知恶意家族,包括Mythic Agent等,攻击机制涉及COM劫持与远程控制,具有较高隐蔽性。ESET同时指出,许多RAR档案中还刻意嵌入无效路径的ADS条目,用以掩盖恶意活动踪迹。