حذرت مجموعة Google Threat Intelligence Group من استغلال مجموعة متنوعة ومتزايدة من المهاجمين، بما في ذلك جماعات ترعاها دول ومجرمو سيبرانية ذوو دوافع مالية، لثغرة أمنية في برنامج WinRAR. هذه الثغرة، التي تم الكشف عنها وإصلاحها قبل ستة أشهر، لا تزال تشكل تهديداً نشطاً.
تتعلق الثغرة الأمنية ذات الخطورة العالية، والمعروفة بالرمز CVE-2025-8088، بوجود مسار عبور في آلية عمل البرنامج. وقد تم استغلال هذه الثغرة في البرية قبل ما يقرب من أسبوعين من إصدار RARLAB، المطور لبرنامج ضغط الملفات، لتحديث برمجي في أواخر يوليو لمعالجتها.
استمرار استغلال ثغرة WinRAR الأمنية من قبل جهات متعددة
لقد امتد الاستغلال النشط لهذه الثغرة بشكل مستمر ليشمل المزيد من مجموعات التهديد خلال الأشهر الستة الماضية، ولا يزال مستمراً. وقد نسبت فرق تحليل التهديدات في Google الهجمات إلى ما لا يقل عن ثلاثة مهاجمين ذوي دوافع مالية، وأربع مجموعات مدعومة من روسيا، ومهاجم واحد يتمركز في الصين.
صرحت Google في تقرير استخباراتي حديث، “لا يزال الجهات الفاعلة المدعومة من الحكومات والمرتبطة بروسيا والصين، بالإضافة إلى الجهات الفاعلة ذات الدوافع المالية، يستغلون هذه الثغرة القديمة عبر عمليات متباينة”. ولم يحدد الباحثون عدد الهجمات المرتبطة بالثغرة، لكنهم وصفوا النشاط بأنه واسع النطاق.
استهدافات ذات طابع استراتيجي ومالي
تعمل مجموعات مدعومة من دول بشكل مستمر على استغلال هذا العيب لاستهداف ضحايا في قطاعات عسكرية وحكومية وتقنية لأغراض التجسس، وفقًا للباحثين. وتستهدف المجموعات المدعومة من روسيا كيانات عسكرية وحكومية أوكرانية، بينما تظل أهداف المهاجم المتمركز في الصين غير معروفة.
كما يشهد البرنامج إقبالاً من مجرمي السيبرانية لاستغلال الثغرة. وقد تتبعت Google حملات تعود إلى مجموعات استهدفت سابقًا ضحايا في إندونيسيا وأمريكا اللاتينية والبرازيل. وقد استغل مجرمو السيبرانية الثغرة في ديسمبر ويناير لنشر برامج ضارة، بما في ذلك أحصنة طروادة الوصول عن بعد وبرامج سرقة المعلومات.
نشرت Google مخططاً زمنياً للهجمات المرصودة، يصور مجموعة واسعة من المهاجمين المشاركين حتى أكتوبر، إلا أن غالبية النشاط الضار منذ أواخر عام 2025 تُعزى إلى مجرمي السيبرانية.
آلية هجوم متطورة وصعبة الكشف
تشترك الهجمات في طريقة استغلال شائعة، والتي اعتمدها بسرعة نطاق واسع من مجموعات التهديد. وصرحت Google لـ GTIG عبر البريد الإلكتروني، “نحن نرى كلا من المجموعات المدعومة من الحكومات والجهات الفاعلة ذات الدوافع المالية تستخدم نفس طريقة الاستغلال لتحقيق تنفيذ ناجح على الأجهزة المستهدفة”.
وأضاف التقرير، “إن آلية إنشاء أرشيف RAR خبيث تجعل من الصعب على الضحايا تحديد أنهم قد تأثروا، حيث يتم عرض ملف وهمي غير ضار بينما يقوم البرنامج في الخلفية بصمت بإسقاط حمولة ضارة في موقع نظام حرج مثل مجلد بدء تشغيل Windows”.
تتطلب البرامج الضارة أي تفاعل من المستخدم، ونظرًا لعدم وجود مؤشرات واضحة على الاختراق، يكون النشاط الضار صعب الاكتشاف للغاية، بحسب الباحثين. يأتي هذا التطور مشابهًا للاستغلال الواسع النطاق لخلل سابق في WinRAR (CVE-2023-38831)، الذي حذرت منه Google Analysis Group في أكتوبر 2023.
قال الباحثون، “إن حاجز الدخول للجهات الفاعلة للتهديد لاستغلال ثغرات WinRAR منخفض، حيث توجد أدوات جاهزة للاستخدام علنًا لصياغة واختبار الأرشيفات الخبيثة بسرعة”. وحثت Google المؤسسات على تثبيت التحديثات الأمنية لبرنامج WinRAR، ونشرت مؤشرات الاختراق لمساعدة المدافعين في البحث عن النشاط الضار على أنظمتهم.