كشفت شركة جوجل أن عدة مجموعات تهديد، من بينها جهات مدعومة من دول ومجموعات ذات دوافع مالية، تستغل ثغرة أمنية خطيرة في برنامج WinRAR رغم صدور تحديث أمني لمعالجتها منذ يوليو 2025. الثغرة، المعروفة بالرمز CVE-2025-8088، تحمل درجة خطورة 8.8 وفق مقياس CVSS، وتسمح بتنفيذ تعليمات برمجية عشوائية عبر ملفات أرشيف خبيثة.
طبيعة الثغرة وآلية الاستغلال
الثغرة عبارة عن خلل في مسار الملفات (Path Traversal) يمكّن المهاجمين من إسقاط ملفات ضارة داخل مجلد بدء التشغيل في ويندوز، مما يضمن استمرار التنفيذ عند إعادة تشغيل الجهاز. ورغم إصدار نسخة WinRAR 7.13 في 30 يوليو 2025 لإصلاح المشكلة، إلا أن الاستغلال ما زال مستمراً على نطاق واسع، ما يكشف فجوة في وعي المستخدمين وأساسيات الأمن البرمجي.
مجموعات التهديد الروسية والصينية
من أبرز المجموعات التي استغلت الثغرة:
- RomCom (UNC4895): استغل الثغرة كـ “صفر يوم” في يوليو 2025 لنشر برمجية SnipBot/NESTPACKER.
- Sandworm (APT44): استخدم ملفات بأسماء أوكرانية كطُعم مع ملفات LNK خبيثة.
- Gamaredon (CARPATHIAN): استهدف مؤسسات حكومية أوكرانية عبر أرشيفات RAR تحتوي على ملفات HTA.
- Turla (SUMMIT): وزع مجموعة برمجيات STOCKSTAY باستخدام طُعم يتعلق بالأنشطة العسكرية الأوكرانية.
- جهة صينية غير مسماة استغلت الثغرة لنشر Poison Ivy عبر سكربتات Batch.
دوافع مالية واستغلال تجاري
لم تقتصر الهجمات على الأهداف السياسية، بل تبنتها مجموعات مالية لنشر أدوات تحكم عن بُعد مثل AsyncRAT وXWorm، إضافة إلى برمجيات سرقة بيانات. بعض الهجمات تضمنت أبواب خلفية يتم التحكم بها عبر بوتات تيليجرام، فيما استهدفت مجموعة أخرى مستخدمين برازيليين عبر إضافة خبيثة لمتصفح كروم قادرة على حقن صفحات البنوك بمحتوى تصيّدي وسرقة بيانات الدخول.
اقتصاد تحت الأرض وبيع الثغرات
أشارت جوجل إلى أن استغلال الثغرة أصبح جزءاً من اقتصاد سري مزدهر، حيث يتم بيع أدوات استغلال WinRAR بمبالغ تصل إلى آلاف الدولارات. أحد المزودين المعروفين باسم zeroplayer عرض استغلالاً للثغرة قبيل الإعلان عنها، ما يعكس تحول دورة الهجوم إلى سلعة جاهزة تقلل من تعقيد العملية وتتيح لمجموعات مختلفة استغلالها بسهولة.
ثغرات أخرى في WinRAR
لم تتوقف المخاطر عند CVE-2025-8088، إذ تم رصد استغلال ثغرة أخرى هي CVE-2025-6218 (درجة خطورة 7.8)، من قبل مجموعات مثل GOFFEE وBitter وGamaredon، ما يؤكد خطورة الثغرات المعروفة (N-day) التي تظل قابلة للاستغلال حتى بعد صدور التحديثات.
