في يوليو 2025، تم الكشف عن حملة هجمات إلكترونية متقدمة استهدفت منظمات روسية عبر استغلال ثغرات في برنامج WinRAR. وقد نفذ المهاجمون، المعروفون باسم “ورق الذئب”، سلسلة من الهجمات التصيدية مستغلين ثغرة معروفة تحمل الرمز CVE-2025-6218 في إصدارات WinRAR حتى الإصدار 7.11. وقد مكنتهم هذه الثغرة من تنفيذ تعليمات برمجية عن بُعد عبر توزيع ملفات RAR خبيثة تقوم باستخراج ملفات تنفيذية ضارة خارج الأدلة المستهدفة، مما يسمح بإنشاء اتصال عكسي بخادم التحكم.
وكشفت التحقيقات اللاحقة عن ثغرة أكثر خطورة من نوع “يوم الصفر” تؤثر على إصدارات WinRAR حتى الإصدار 7.12، حيث تم التلاعب في التعامل مع تدفقات البيانات البديلة. وقد سمحت هذه الثغرة بتثبيت حمولات عشوائية في أدلة النظام، مما يضمن الاستمرار في النشاط الضار وتنزيل محتوى ضار إضافي.
وأشارت منشورات في منتديات الأسواق السوداء الإلكترونية إلى وجود صلة محتملة بين الحملة وأسواق الجرائم الإلكترونية، حيث تم الإعلان عن استغلال لثغرة “يوم الصفر” في WinRAR مقابل 80,000 دولار. وعلى الرغم من عدم تأكيد هذه الصلة، إلا أنها تثير مخاوف بشأن تسليع رموز الاستغلال. وقد تم معالجة هذه الثغرات في إصدار WinRAR 7.13، مما يبرز أهمية تحديث البرامج ومراقبة الأمن بشكل شامل لمواجهة مثل هذه الأساليب المتقدمة في توصيل البرمجيات الخبيثة.
