Trend Micro beschreibt zwei voneinander getrennte Kampagnen rund um CVE-2025-8088. Die Schwachstelle wurde in WinRAR 7.13 behoben, wird nach Angaben der Forscher Hiroyuki Kakara und Feike Hacquebord aber weiterhin aktiv ausgenutzt. WinRAR sei tief in den täglichen Abläufen ukrainischer Organisationen verankert und damit ein lohnendes Ziel. Noch im April hätten sowohl Shadow-Earth-066 als auch Earth Dahu neue Exploit-Beispiele erzeugt; Earth Dahu sei weiterhin aktiv.

Shadow-Earth-066, von CERT-UA als UAC-0226 geführt, setzte die Lücke laut Trend Micro ein, um eine aktualisierte Variante des Information-Stealers GiftedCrook zu installieren. Die Gruppe verschickt demnach E-Mails mit Lockthemen aus dem militärischen oder behördlichen Umfeld der Ukraine und hängt ein bösartiges RAR-Archiv an. Dieses missbraucht die Path-Traversal-Lücke in WinRAR, um über NTFS Alternate Data Streams eine schädliche LNK-Datei oder andere Nutzlasten in einen Windows-Startup-Pfad zu schreiben.

Am Ende dieser Angriffskette wird GiftedCrook ausgeführt. Die Schadsoftware ist auf schnellen Diebstahl von Zugangsdaten und Dokumenten ausgelegt, sammelt Browser-Passwörter, Sitzungscookies und Dateien mit 35 Erweiterungen und löscht sich anschließend selbst vom kompromittierten System.

Eine zweite Kampagne ordnet Trend Micro Earth Dahu zu, einem seit langem bekannten russlandnahen Akteur, der unter anderem auch als Primitive Bear, Shuckworm, Aqua Blizzard und UAC-0010 verfolgt wird. In diesem Fall beginnt der Angriff mit einer Spear-Phishing-Mail von einem kompromittierten Regierungskonto. Das beigefügte präparierte Archiv enthält Dokumente, die legitim wirken sollen. Über CVE-2025-8088 platziert die Gruppe dann schädliche HTA-Dateien an Orten, von denen Windows sie später ausführt.

Diese HTA-Dateien laden laut Trend Micro ein VBScript von der Command-and-Control-Infrastruktur der Gruppe auf Cloudflare Workers nach. Das Skript wiederum lädt Malware-Module, die auf dauerhafte Cyberspionage ausgelegt sind. Google Threat Intelligence Group hatte den Forschern zufolge bereits früher in diesem Jahr berichtet, dass auch andere russlandnahe Akteure, darunter Sandworm, Turla und Void Rabisu, dieselbe Schwachstelle ausgenutzt haben.

CVE-2025-8088 betrifft die Windows-Version von WinRAR und erlaubt die Ausführung beliebigen Codes. Angreifer können dazu manipulierte Archive erstellen, die Dateien außerhalb des vorgesehenen Entpack-Verzeichnisses schreiben. Genau diese Technik macht den Missbrauch von Startup-Ordnern möglich. Trend Micro verweist zudem darauf, dass WinRAR aufgrund seiner großen Verbreitung seit Langem ein beliebtes Ziel ist; schon die frühere Schwachstelle CVE-2023-38831 wurde 2023 intensiv von russischen und chinesischen Gegnern angegriffen.

Ein im Januar veröffentlichter Bericht von Google kam bereits zu dem Schluss, dass staatlich unterstützte Akteure die Lücke ins Visier nehmen und besonders kleine und mittlere Unternehmen betroffen sind. Waseem Ahmed, Entwicklungschef bei Secure.com, sagte Dark Reading, es sei bemerkenswert, aber nicht überraschend, dass Angreifer weiterhin in diese Schwachstelle investieren. Der Missbrauch sei günstig, weil weder ein ausgefallener Exploit noch eine aufwendige Infrastruktur nötig seien.

Trend Micro sieht einen Grund für die anhaltende Gefahr darin, dass WinRAR auf vielen Endpunkten ungepatcht bleibt. Die Software aktualisiert sich nicht automatisch, unterstützt keine Group Policy und fällt laut den Forschern außerhalb gängiger Unternehmens-Patchkanäle wie WSUS, SCCM oder Intune. Den Patch-Stand über Hunderte Endpunkte hinweg zu prüfen, erfordere deshalb Werkzeuge von Drittanbietern oder manuelle Audits.