网络安全公司 ESET 于 2025 年 8 月 11 日披露，WinRAR 存在编号为 CVE-2025-8088 的高危漏洞，该漏洞被黑客组织 RomCom（又称 Storm-0978、Tropical Scorpius）用于攻击用户，向目标设备植入包括 Mythic Agent、SnipBot 及 MeltingClaw 在内的多种恶意软件。

WinRAR 已于 2025 年 7 月 30 日发布 7.13 版本修复该漏洞，并建议用户尽快升级至 7.13 或更高版本。由于 WinRAR 缺乏自动更新机制，用户需手动下载安装新版，导致补丁覆盖率受限。RarLab 公司表示，除 ESET 提供的技术通报外，尚未收到用户遭受实际攻击的反馈。

ESET 于 2025 年 7 月 18 日在分析可疑样本时首次识别出该漏洞，并通报 WinRAR 开发团队。攻击者通过构造特定 RAR 压缩包，利用路径遍历缺陷，将恶意 DLL、EXE 及 LNK 文件隐藏在“备用数据流”（ADS）中。

当用户解压文件后，这些恶意文件会被提取至 % TEMP%、% LOCALAPPDATA% 等临时目录以及 Windows 启动目录，实现系统启动时自动运行恶意程序。部分 ADS 条目指向无效路径，用以干扰用户识别真实威胁。

ESET 披露了三条攻击链，分别对应 RomCom 组织使用的三大恶意软件：Mythic Agent、SnipBot 和 MeltingClaw。攻击流程通常通过 Windows 快捷方式（LNK 文件）加载 DLL，随后解密并执行 Shellcode，最终与攻击者的 C2 服务器建立远程通信，下载后续恶意模块。

俄罗斯本土安全公司 Bi.Zone 也监测到另一攻击团伙“Paper Werewolf”利用该漏洞实施类似攻击，表明 CVE-2025-8088 的利用已呈现多发趋势。

免责声明：本文内容由开放的智能模型自动生成，仅供参考。