کمیته رکن چهارم – آژانس امنیت سایبری آمریکا (CISA) از بهرهبرداری فعال چند گروه تهدید از آسیبپذیری خطرناک در WinRAR خبر داد. این نقص با شناسه CVE-2025-6218 و امتیاز ۷٫۸، از نوع عبور از مسیر است و به مهاجمان امکان اجرای کد در سیستم قربانی را میدهد.
به گزارش کمیته رکن چهارم، این آسیبپذیری در نسخه ویندوزی WinRAR شناسایی شده و در نسخه ۷٫۱۲ اصلاح شده است. مهاجمان با ارسال فایل RAR آلوده یا هدایت کاربر به یک صفحه مخرب، میتوانند فایلهایی در مسیرهای حساس مانند پوشه Startup ذخیره کرده و کد مخرب را هنگام ورود بعدی کاربر اجرا کنند.
بر اساس گزارشهای امنیتی، سه گروه سایبری GOFFEE، Bitter و Gamaredon از این نقص بهرهبرداری کردهاند. گروه Bitter با استفاده از فایل Word آلوده و الگوی ماکروی مخرب، بدافزاری را برای سرقت اطلاعات از طریق سرور جانبی فعال کرده است. این بدافزار توانایی ثبت کلیدهای فشردهشده، گرفتن اسکرینشات، سرقت رمزهای RDP و استخراج فایلها را دارد.
گروه سایبری Gamaredon نیز در کمپینهای فیشینگ علیه اوکراین از این آسیبپذیری برای نصب بدافزار Pteranodon و اخیراً ویپر تخریبی GamaWiper استفاده کرده است. گزارشها نشان میدهد این اقدامات بخشی از یک عملیات گسترده جاسوسی و تخریب زیرساختی است.
در واکنش به این تهدید، نهادهای دولتی آمریکا موظف شدهاند تا ۳۰ دسامبر ۲۰۲۵ اقدامات لازم برای ایمنسازی سیستمها را انجام دهند. کارشناسان امنیتی هشدار دادهاند که کاربران باید نسخه WinRAR خود را بهروزرسانی کنند تا از سوءاستفاده احتمالی جلوگیری شود.
