研究人员发布了一份报告，详细阐述了俄罗斯 RomCom 黑客组织如何利用近期被追踪为 CVE-2025-8088 的 WinRAR 路径遍历漏洞，在零日攻击中投放不同的恶意软件有效载荷。

RomCom（又称 Storm-0978 和 Tropical Scorpius）是一个俄罗斯网络间谍威胁组织，擅长利用零日漏洞进行网络攻击，涉及 Firefox（CVE-2024-9680、CVE-2024-49039）和微软 Office（CVE-2023-36884）等软件。

2025 年 7 月 18 日，ESET 发现 RomCom 正在利用 WinRAR 中一个未公开的路径遍历零日漏洞，并通知了这款热门压缩工具的开发团队。

ESET 本周发布的新报告解释道：" 通过对漏洞利用程序的分析，我们发现了这一漏洞并定为 CVE-2025-8088 的编号，这是一个借助备用数据流实现的路径遍历漏洞。WinRAR 已于 2025 年 7 月 30 日发布了修复版本。"

2025 年 7 月 30 日，WinRAR 发布了针对该漏洞（编号 CVE-2025-8088）的修复程序，版本为 7.13。不过，随附的公告中并未提及该漏洞存在被主动利用的情况。据悉，当用户打开特制的压缩包时，该漏洞会被用于将危险的可执行文件提取到自动运行路径。

该漏洞与一个月前披露的另一个 WinRAR 路径遍历漏洞（追踪编号 CVE-2025-6218）相似。

ESET 的报告称，恶意的 RAR 压缩包包含多个隐藏的 ADS（备用数据流）有效载荷，这些载荷用于隐藏恶意的 DLL 文件和 Windows 快捷方式，当目标用户打开压缩包时，这些文件会被提取到攻击者指定的文件夹中。

许多 ADS 条目指向无效路径，ESET 认为，这些条目是被故意添加的，目的是生成看似无害的 WinRAR 警告，同时隐藏文件列表深处存在的恶意 DLL、EXE 和 LNK 文件路径。

恶意 RAR 存档（顶部）和解压过程中的错误（底部）

可执行文件被放置在 %TEMP% 或 %LOCALAPPDATA% 目录中，而 Windows 快捷方式（LNK 文件）则被放入 Windows 启动目录，以便在用户后续登录时执行。

ESET 记录了三条不同的攻击链，均会投放 RomCom 组织已知的恶意软件家族：

·Mythic Agent：Updater.lnk 会将 msedge.dll 添加到一个 COM 劫持注册表位置，该文件会解密 AES shellcode，且仅当系统域与硬编码的值匹配时才会运行。该 shellcode 会启动 Mythic 代理，从而实现命令与控制通信、命令执行以及有效载荷投放。

·SnipBot：Display Settings.lnk 会运行 ApbxHelper.exe，这是一个经过修改的 PuTTY CAC，带有无效证书。它会先检查是否有不少于 69 个最近打开的文档，之后再解密 shellcode，从攻击者的服务器下载额外的有效载荷。

·MeltingClaw：Settings.lnk 会启动 Complaint.exe（即 RustyClaw），该程序会下载一个 MeltingClaw DLL，进而从攻击者的基础设施获取并执行更多恶意模块。

Mythic Agent 感染链

俄罗斯网络安全公司 Bi.Zone 也报告称，他们观察到一个单独的活动群，被其追踪为 "Paper Werewolf"，该集群在攻击中同样利用了 CVE-2025-8088 和 CVE-2025-6218 这两个漏洞。

目前，ESET 已在其 GitHub 仓库中分享了 RomCom 组织最新攻击的完整入侵指标。

尽管微软在 2023 年为 Windows 系统添加了原生的 RAR 支持功能，但该功能仅在较新的版本中可用，且其功能远不如 WinRAR 全面。因此，许多高级用户和组织仍依赖 WinRAR 来管理压缩文件，这使其成为黑客的主要攻击目标。

RarLab 表示，他们并不了解 CVE-2025-8088 漏洞被利用的具体细节，也没有收到任何用户报告，ESET 仅向他们分享了开发补丁所需的技术信息。WinRAR 没有自动更新功能，因此用户需要从官网手动下载并安装最新版本。