کمیته رکن چهارم – یک آسیبپذیری روز صفر خطرناک در نرمافزار فشردهساز WinRAR توسط دو گروه سایبری روسی مورد سوءاستفاده قرار گرفته است. این حملات عمدتاً از طریق فایلهای فشرده آلوده ارسالشده در پیامهای فیشینگ انجام شده که برخی از آنها برای قربانیان شخصیسازی شده بودند. هکرها با باز شدن این فایلها موفق به ایجاد در پشتی (Backdoor) در سیستم قربانی شدند.
به گزارش کمیته رکن چهارم، شرکت ESET اعلام کرد که در ۱۸ ژوئیه ۲۰۲۵ برای نخستین بار این حملات را شناسایی کرده، زمانی که سامانه تلهمتری آن اجرای فایل در مسیری غیرمعمول را گزارش داد. بررسیها نشان داد که این رفتار ناشی از سوءاستفاده از یک آسیبپذیری ناشناخته در WinRAR بوده است. تا ۲۴ ژوئیه ارتباط این رفتار با آسیبپذیری روز صفر تأیید و همان روز موضوع به توسعهدهندگان WinRAR اطلاع داده شد. تنها شش روز بعد یک پچ امنیتی برای رفع مشکل منتشر گردید.
این آسیبپذیری که اکنون با شناسه CVE-2025-8088 شناخته میشود، بهطور خاص کاربران ویندوز را هدف قرار داده و مهاجمان از قابلیت Alternate Data Streams ویندوز برای پنهانسازی فعالیت خود استفاده کردهاند. ESET گروه هکری RomCom را عامل اصلی این حملات معرفی کرده است. RomCom یک گروه با انگیزه مالی و توانایی استفاده از اکسپلویتهای پیشرفته است که پیشتر نیز از آسیبپذیریهای روز صفر در حملات واقعی بهره برده بود.
با این حال، RomCom تنها بازیگر این ماجرا نبوده است. شرکت امنیتی روسی Bi.ZONE اعلام کرده که گروه دیگری با نام Paper Werewolf یا GOFFEE نیز از این نقص امنیتی سوءاستفاده کرده است. این گروه پیشتر از آسیبپذیری شدید دیگری در WinRAR با شناسه CVE-2025-6218 نیز بهرهبرداری کرده بود.
این رویداد بار دیگر اهمیت بهروزرسانی فوری نرمافزارها و استفاده از نسخههای امن را برای جلوگیری از حملات زنجیرهای سایبری یادآور میشود.
