WinRAR-sårbarhet CVE-2025-6218

Den amerikanska myndigheten för cybersäkerhet och infrastruktur (CISA) har formellt lagt till en säkerhetsbrist i filarkiverings- och komprimeringsverktyget WinRAR i sin katalog över kända sårbarheter (KEV). Myndigheten hänvisade till bevis för att sårbarheten aktivt utnyttjas, vilket väcker oro för både organisationer och enskilda användare.

Felet, spårat som CVE-2025-6218 med en CVSS-poäng på 7,8, är en sårbarhet för sökvägsövergång som gör det möjligt för en angripare att exekvera kod i den aktuella användarens kontext. För att lyckas med utnyttjandet måste målet antingen besöka en skadlig webbplats eller öppna en specialskriven fil.

Detaljer om felet och patchstatus

RARLAB åtgärdade denna sårbarhet i WinRAR 7.12, som släpptes i juni 2025. Felet påverkar endast Windows-baserade versioner; versioner för Unix, Android och andra plattformar påverkas inte.

Sårbarheten gör det möjligt för angripare att placera filer på känsliga systemplatser, till exempel Windows startmapp, vilket potentiellt utlöser oavsiktlig kodkörning vid nästa systeminloggning.

Aktivitet för hotaktörer

Flera cybersäkerhetsrapporter indikerar att CVE-2025-6218 har utnyttjats av tre olika hotaktörer:

• GOFFEE (Pappersvarulv)
• Bitter (APT-C-08 / Manlinghua)
• Gamaredon
• GOFFEE-kampanjer

I juli 2025 kombinerade GOFFEE påstås ha kombinerat CVE-2025-6218 med CVE-2025-8088, ytterligare en allvarlig sårbarhet för WinRAR-sökvägshantering (CVSS-poäng 8,8), för att rikta in sig på organisationer via nätfiskemeddelanden. Dessa attacker tyder på en samordnad och sofistikerad insats för att kompromettera företagsmiljöer.

Bitter APT-exploatering

Bitter, en APT-grupp med fokus på Sydasien, utnyttjade sårbarheten för att upprätthålla persistens på komprometterade system och distribuera en C#-trojan med hjälp av en lätt nedladdningsbar programvara. Attacken involverar ett RAR-arkiv med namnet Provision of Information for Sectoral for AJK.rar, som innehåller ett skadligt Word-dokument och en skadlig makromall.

Viktiga attackmekanismer inkluderar:

• Genom att släppa Normal.dotm i Microsoft Words globala mallsökväg säkerställs att makrot körs automatiskt varje gång Word öppnas.
• Kringgå standardskydd för e-postmakroer för dokument som mottagits efter att de komprometterats.

• Gör det möjligt för trojanen att kontakta en extern C2-server på johnfashionaccess.com, vilket underlättar keylogging, skärmdumpstagning, stöld av RDP-uppgifter och fileverans.

Dessa arkiv distribueras huvudsakligen genom spear-phishing-kampanjer.

Gamaredon-exploatering

Den rysk-anslutna gruppen Gamaredon har också utnyttjat CVE-2025-6218 i nätfiskekampanjer riktade mot ukrainska militära, statliga, politiska och administrativa enheter. Skadlig programvara, kallad Pteranodon, observerades först i november 2025.

Bevis tyder på att detta inte är en opportunistisk aktivitet. Det representerar strukturerad, militärt inriktad spionage och sabotage, troligen koordinerad av rysk statlig underrättelsetjänst. Dessutom har Gamaredon missbrukat CVE-2025-8088 för att leverera Visual Basic Script-skadlig programvara och distribuera en destruktiv rensare vid namn GamaWiper, vilket markerar gruppens första observerade övergång från spionage till destruktiva operationer.

Lärdomar för säkerhetsteam

Organisationer och säkerhetsteam bör prioritera följande åtgärder:

• Se till att alla Windows-system som kör WinRAR är uppdaterade till version 7.12 eller senare.
• Var vaksam mot nätfiskekampanjer, särskilt spear-phishing-mejl som innehåller RAR-arkiv eller Word-dokument.
• Övervaka misstänkt aktivitet som tyder på ihållande bakdörrar, keylogging eller C2-kommunikationsförsök.
• Inse att statssponsrade aktörer kan kombinera flera sårbarheter för riktade attacker.

Proaktiv patchning, e-postsäkerhetshygien och endpointövervakning är avgörande för att mildra dessa avancerade hot och begränsa den operativa effekten av utnyttjade sårbarheter som CVE-2025-6218.