WinRAR unter Beschuss: Angreifer nutzen kritische Lücke weltweit aus : Staatliche Gruppen und Cyberkriminelle missbrauchen gepatchte Schwachstelle für Malware und Spionage
Eine kritische Sicherheitslücke in WinRAR entwickelt sich zur globalen Angriffsplattform. Trotz verfügbarer Updates wird die Schwachstelle weiterhin aktiv ausgenutzt. Google warnt vor einer gefährlichen Mischung aus staatlicher Spionage, Cyberkriminalität und einem florierenden Exploit-Markt.
Google hat bestätigt, dass mehrere Bedrohungsakteure eine inzwischen geschlossene Sicherheitslücke in WinRAR weiterhin aktiv ausnutzen. Die Schwachstelle CVE-2025-8088 wurde bereits im Juli 2025 entdeckt und mit Version 7.13 von WinRAR behoben. Dennoch setzen staatlich unterstützte Gruppen mit Verbindungen zu Russland und China sowie finanziell motivierte Angreifer die Lücke gezielt ein, um Erstzugriff auf Systeme zu erhalten und Schadsoftware nachzuladen.
Die Google Threat Intelligence Group spricht von einer besorgniserregenden Persistenz der Angriffe. Besonders kritisch ist, dass die Ausnutzung auf einer Path-Traversal-Technik basiert, die es erlaubt, Dateien unbemerkt in den Windows-Startordner zu schreiben und dort dauerhaft zu verankern.
So funktioniert der Angriff
Die Schwachstelle erlaubt es Angreifern, speziell präparierte RAR-Archive zu erstellen. Öffnet ein Benutzer ein solches Archiv mit einer verwundbaren WinRAR-Version, können Dateien an beliebige Orte im System extrahiert werden. Häufig werden schädliche Windows-Verknüpfungen in alternativen Datenströmen versteckt und beim nächsten Neustart automatisch ausgeführt. Dadurch erhält der Angreifer Codeausführung und Persistenz zugleich.
Staatliche Akteure setzen gezielt ein
Nach Erkenntnissen von Google und ESET nutzte die Gruppe RomCom die Schwachstelle bereits als Zero-Day-Exploit, um die Malware SnipBot zu verbreiten. Weitere russische Gruppen folgten rasch, darunter
- Sandworm (auch bekannt als APT44 und FROZENBARENTS): Die Gruppe nutzt die Lücke, um Archive mit ukrainisch klingenden Dateinamen zu verteilen. Beim Entpacken wird eine manipulierte Windows-Verknüpfung abgelegt, die weitere Schadsoftware aus dem Internet nachlädt.
- Gamaredon (auch bekannt als CARPATHIAN): Diese Gruppe greift ukrainische Behörden mit präparierten RAR-Archiven an. Darin befinden sich HTML-Anwendungsdateien, die nach dem Öffnen zusätzliche Schadprogramme nachladen.
- Turla (auch bekannt als SUMMIT): Turla nutzt die Schwachstelle, um die Malware-Suite STOCKSTAY zu verbreiten. Als Köder dienen dabei Dokumente, die sich auf militärische Aktivitäten und Drohneneinsätze in der Ukraine beziehen.
Auch ein in China ansässiger Akteur setzt CVE-2025-8088 ein, um die Malware Poison Ivy über Batch-Skripte im Windows-Startordner zu verteilen. Parallel dazu missbrauchen finanzielle Angreifer die Lücke. Dabei setzten sie weit verbreitete Fernzugriffswerkzeuge und Programme zum Datendiebstahl ein. In mehreren Fällen kamen Hintertüren zum Einsatz, die über Telegram-Bots gesteuert wurden, sowie bekannte Schadprogramme wie AsyncRAT und XWorm.
In einer weiteren Kampagne beobachtete das Google Threat Intelligence Team eine kriminelle Gruppe, die gezielt brasilianische Nutzer ins Visier nahm. Die Angreifer verbreiteten eine manipulierte Chrome-Erweiterung, die schädlichen JavaScript-Code in die Webseiten von zwei brasilianischen Banken einschleuste. Auf diese Weise konnten Phishing-Inhalte angezeigt und Zugangsdaten der Nutzer abgegriffen werden.
Exploit-Markt treibt Angriffe an
Die anhaltende Ausnutzung wird durch einen lukrativen Untergrundmarkt begünstigt. WinRAR-Exploits werden dort für mehrere Tausend Dollar gehandelt. Ein Anbieter namens Zeroplayer bot entsprechende Exploits bereits Wochen vor der öffentlichen Bekanntgabe der Schwachstelle an. Laut Google senkt diese Kommerzialisierung in Verbindung mit der Bereitstellung einsatzbereiter Funktionen die Einstiegshürden erheblich und ermöglicht auch weniger technisch versierten Gruppen komplexe Angriffe.
N-Day-Lücken als Dauerproblem
Die Situation verschärft sich weiter, da auch eine zweite WinRAR-Schwachstelle mit der Kennung CVE-2025-6218 aktiv ausgenutzt wird. Mehrere Gruppen setzen sie parallel ein, was zeigt, wie schnell gepatchte Sicherheitslücken zu Massenangriffen werden. Für Unternehmen und Behörden bedeutet das: Sicherheitsupdates müssen nicht nur verfügbar, sondern auch konsequent und zeitnah installiert werden.