أدرجت وكالة الأمن السيبراني الأمريكية CISA ثغرة جديدة في برنامج WinRAR ضمن كتالوج الثغرات المستغلة فعليًا (KEV)، بعد تأكيد تعرضها لهجمات نشطة من جهات تهديد متعددة. وتحمل الثغرة المعرف CVE‑2025‑6218 بدرجة خطورة 7.8، وهي ثغرة Path Traversal يمكن أن تؤدي إلى تنفيذ شيفرة ضارة عند فتح ملف خبيث أو زيارة صفحة معدّة للهجوم.
وتوضح CISA أن الثغرة تسمح للمهاجم بتنفيذ أوامر في سياق المستخدم الحالي، بينما تشير RARLAB إلى أن استغلالها قد يمكّن المهاجم من وضع ملفات في مسارات حساسة مثل مجلد Startup، مما يؤدي إلى تشغيلها تلقائيًا عند تسجيل الدخول.
تم إصلاح الثغرة في إصدار WinRAR 7.12 الصادر في يونيو 2025، وهي تؤثر فقط على نسخ ويندوز دون غيرها من الأنظمة.
ثلاث مجموعات تهديد تستغل الثغرة في هجمات فعلية
تشير تقارير من BI.ZONE وForesiet وSecPod وSynaptic Security إلى أن ثلاث مجموعات تهديد تستغل الثغرة بشكل نشط:
- GOFFEE (Paper Werewolf)
- Bitter (APT‑C‑08 / Manlinghua)
- Gamaredon
وقد استُخدمت الثغرة إلى جانب ثغرة أخرى في WinRAR هي CVE‑2025‑8088 (درجة 8.8) في هجمات تصيّد استهدفت منظمات روسية في يوليو 2025.
Bitter APT تستخدم الثغرة لزرع باب خلفي دائم
كشفت Foresiet أن مجموعة Bitter استغلت الثغرة لنشر باب خلفي عبر أرشيف RAR يحتوي على:
- ملف Word سليم
- قالب ماكرو خبيث
يقوم الأرشيف بإسقاط ملف Normal.dotm في مسار القوالب العالمية لـWord، مما يضمن تشغيل الماكرو الضار تلقائيًا في كل مرة يُفتح فيها Word، متجاوزًا سياسات حظر الماكرو في رسائل البريد.
ويقوم التروجان المكتوب بـC# بالاتصال بخادم C2 لجمع:
- كلمات مرور RDP
- لقطات الشاشة
- ضغطات المفاتيح
- الملفات الحساسة
وتشير التحليلات إلى أن الهجمات تُنفذ عبر رسائل تصيّد موجهة.
Gamaredon يستخدم الثغرة في عمليات تجسس وهجمات مدمرة
استغلت مجموعة Gamaredon الروسية الثغرة في حملات تصيّد استهدفت:
- الجيش الأوكراني
- المؤسسات الحكومية
- الكيانات السياسية والإدارية
وذلك لنشر برمجية Pteranodon. ويصف الباحثون هذه العمليات بأنها هجمات تجسس عسكرية منظمة وليست حملات عشوائية.
كما استغلت المجموعة الثغرة الأخرى CVE‑2025‑8088 لنشر:
- برمجيات VBS خبيثة
- ممسحة بيانات جديدة باسم GamaWiper
وهي أول عملية تدميرية تُنسب إلى Gamaredon بعد سنوات من التركيز على التجسس.
إلزام الوكالات الأمريكية بتطبيق التحديث قبل نهاية ديسمبر
نظرًا للهجمات النشطة، ألزمت CISA الوكالات الفيدرالية الأمريكية بتطبيق تحديث WinRAR قبل 30 ديسمبر 2025، لتقليل مخاطر الاختراق.
