Ruská skupina RomCom zneužila zero-day zraniteľnosť v programe WinRAR, terčom sú aj európske organizácie

• Výskumníci spoločnosti ESET objavili doteraz neznámu zraniteľnosť typu zero-day v programe WinRAR zneužívanú skupinou RomCom napojenou na Rusko.
• Ak používate WinRAR alebo iné dotknuté komponenty, ako napríklad verzie jeho príkazových riadkov pre Windows, UnRAR.dll alebo prenosný zdrojový kód UnRAR, okamžite prejdite na najnovšiu verziu.
• Analýza exploitu viedla k objaveniu zraniteľnosti, ktorej bolo pridelené označenie CVE-2025-8088: zraniteľnosť typu path traversal, umožnená použitím alternatívnych dátových tokov. Po odhalení vydal WinRAR opravenú verziu 30. júla 2025.
• Úspešné pokusy o zneužitie viedli k nasadeniu rôznych backdoorov používaných skupinou RomCom, konkrétne variantov SnipBot, RustyClaw a Mythic agent.
• Škodlivá kampaň sa zamerala na finančné, výrobné, obranné a logistické spoločnosti v Európe a Kanade.

Výskumníci spoločnosti ESET objavili doteraz neznámu zraniteľnosť v programe WinRAR, ktorú zneužila skupina RomCom napojená na Rusko. Podľa telemetrie spoločnosti ESET boli škodlivé komprimované súbory použité v spearphishingových kampaniach v období od 18. do 21. júla 2025. Zamerané boli na finančné, výrobné, obranné a logistické spoločnosti v Európe a Kanade. Cieľom útokov bola kyberšpionáž. Je to už minimálne tretíkrát, čo bola skupina RomCom pristihnutá pri zneužívaní významnej zraniteľnosti typu zero-day.

„18. júla sme v RAR archíve zaznamenali škodlivú knižnicu DLL s názvom msedge.dll, ktorá obsahovala nezvyčajné cesty, ktoré upútali našu pozornosť. Po ďalšej analýze sme zistili, že útočníci využívali dovtedy neznámu zraniteľnosť ovplyvňujúcu WinRAR, vrátane vtedajšej aktuálnej verzie 7.12. 24. júla sme kontaktovali vývojára WinRAR; v ten istý deň bola zraniteľnosť opravená v beta verzii a o niekoľko dní neskôr bola vydaná plná verzia. Odporúčame používateľom WinRAR, aby si čo najskôr nainštalovali najnovšiu verziu,“ hovorí výskumník spoločnosti ESET Peter Strýček, ktorý zraniteľnosť objavil spolu s ďalším výskumníkom spoločnosti ESET Antonom Cherepanovom. Chyba CVE-2025-8088 je zraniteľnosť typu path traversal, ktorá umožňuje použitie alternatívnych dátových tokov.

Škodlivé archívy, zamaskované ako aplikačné dokumenty, zneužívali tok typu path traversal na kompromitovanie svojich cieľov. V spearphishingových e-mailoch útočníci zaslali životopisy v nádeji, že obete ich otvoria. Podľa telemetrie spoločnosti ESET neboli žiadne z cieľov kompromitované. Útočníci sa však vopred pripravili a e-maily boli vysoko cielené. Úspešné pokusy o zneužitie priniesli rôzne backdoory používané skupinou RomCom – konkrétne variant SnipBot, RustyClaw a Mythic agent.

Výskumníci spoločnosti ESET pripisujú pozorované aktivity skupine RomCom s vysokou istotou na základe zacielených oblastí, taktík, techník a postupov (TTP) a použitého malvéru. RomCom (tiež známy ako Storm-0978, Tropical Scorpius alebo UNC2596) je skupina napojená na Rusko, ktorá vedie kybernetické kampane proti vybraným odvetviam aj cielené špionážne operácie. Zameranie skupiny sa posunulo k špionážnym operáciám na zber spravodajských informácií, paralelne s jej konvenčnejšími operáciami v oblasti počítačovej kriminality. Backdoor používaný skupinou dokáže vykonávať príkazy a sťahovať ďalšie moduly do počítača obete. Nie je to prvýkrát, čo RomCom použil exploity na kompromitovanie svojich obetí. V júni 2023 skupina vykonala spearphishingovú kampaň zameranú na obranné a vládne subjekty v Európe, s návnadami súvisiacimi s Ukrajinským svetovým kongresom.

„Využitím doteraz neznámej zraniteľnosti typu zero-day v programe WinRAR skupina RomCom ukázala, že je ochotná investovať značné úsilie a zdroje do svojich kybernetických operácií. Odhalená kampaň bola zameraná na sektory, ktoré zodpovedajú typickým záujmom ruských APT skupín, čo naznačuje geopolitickú motiváciu tejto operácie,“ uzatvára Strýček.

Podrobnejšiu analýzu a technický rozbor najnovšej kampane RomCom nájdete v špeciálnom blogu na WeLiveSecurity. Sledujte ESET Research na sieťach X (niekdajší Twitter), BlueSky a Mastodone, aby ste mali vždy najnovšie informácie od výskumníkov spoločnosti ESET.

O spoločnosti ESET

ESET® je popredným európskym poskytovateľom riešení v oblasti kybernetickej bezpečnosti s pobočkami po celom svete. Poskytuje špičkové digitálne zabezpečenie, ktoré zabraňuje útokom ešte pred ich uskutočnením. Vďaka kombinácii sily umelej inteligencie a ľudských skúseností si ESET udržiava náskok pred známymi aj vznikajúcimi kybernetickými hrozbami - chráni firmy, kritickú infraštruktúru aj jednotlivcov. Či už ide o ochranu koncových bodov, cloudu alebo mobilných zariadení, naše riešenia a služby založené na AI a cloude zostávajú vysoko efektívne a ľahko použiteľné. Technológie ESET zahŕňajú robustnú detekciu a reakciu, mimoriadne bezpečné šifrovanie a viacfaktorovú autentifikáciu. Vďaka nepretržitej ochrane v reálnom čase a silnej lokálnej podpore zabezpečujeme bezpečnosť používateľov a nepretržitý chod firiem. Neustále sa vyvíjajúce digitálne prostredie si vyžaduje progresívny prístup k bezpečnosti. Prioritou spoločnosti ESET je výskum na svetovej úrovni a výkonnej analýze hrozieb, ktorú podporujú výskumné a vývojové centrá a silná globálna partnerská sieť. Viac informácií nájdete na stránke www.eset.sk, prípadne nás môžete sledovať na sociálnych sieťach LinkedIn, Facebook a X.