ESET araştırmacıları, WinRAR’da daha önce bilinmeyen bir güvenlik açığı keşfetti. Bu güvenlik açığı, Rusya bağlantılı RomCom grubu tarafından gerçek ortamda istismar edildi. ESET telemetri verilerine göre, 18-21 Temmuz 2025 tarihleri arasında Avrupa ve Kanada’daki finans, üretim, savunma ve lojistik şirketlerini hedef alan spearphishing (hedef odaklı kimlik avı) kampanyalarında kötü amaçlı arşivler kullanıldı. Siber casusluk amacıyla gerçekleştirilen saldırılar, RomCom’un önemli bir sıfırıncı gün güvenlik açığını istismar ettiği üçüncü yakalanışı. WinRAR veya komut satırı yardımcı programlarının Windows sürümleri, UnRAR.dll veya taşınabilir UnRAR kaynak kodu gibi diğer etkilenen bileşenleri kullananların güncellemelerini ivedilikle yapmalarını ve bunları en son sürüme yükseltmeleri önerisinde bulundu.
“En son sürümü yüklemelerini tavsiye ediyoruz”
ESET araştırmacıları Peter Strýček ve Anton Cherepanov, “18 Temmuz’da, dikkatimizi çeken olağan dışı yollar içeren bir RAR arşivinde msedge.dll adlı kötü amaçlı bir DLL dosyası gözlemledik. Ayrıntılı analizler sonucunda, saldırganların WinRAR’ı etkileyen ve o tarihteki 7.12 sürümünü de içeren, daha önce bilinmeyen bir güvenlik açığını kullandığını tespit ettik. 24 Temmuz’da WinRAR’ın geliştiricisiyle iletişime geçtik; aynı gün güvenlik açığı beta sürümünde düzeltildi ve birkaç gün sonra tam sürüm yayımlandı. WinRAR kullanıcılarının riski azaltmak için en son sürümü mümkün olan en kısa sürede yüklemelerini tavsiye ediyoruz. WinRAR’da daha önce bilinmeyen bir sıfır gün güvenlik açığını istismar ederek RomCom grubu, siber operasyonlarına ciddi çaba ve kaynak yatırımı yapmaya istekli olduğunu göstermiştir. Keşfedilen kampanya, Rusya yanlısı APT gruplarının tipik ilgi alanlarıyla örtüşen sektörleri hedef almıştır, bu da operasyonun arkasında jeopolitik bir motivasyon olduğunu düşündürmekte” açıklamasını yaptılar.
