تم استغلال ثغرة خطيرة من نوع “يوم الصفر” في برنامج ضغط الملفات الشهير WinRAR بشكل نشط من قبل مجموعتين روسيتين متخصصتين في الجرائم الإلكترونية. حيث استخدمت هاتان المجموعتان الثغرة لتثبيت أبواب خلفية على أجهزة الكمبيوتر التي تفتح ملفات أرشيف خبيثة مرفقة برسائل بريد إلكتروني تصيدية، وبعض هذه الرسائل مصممة خصيصًا لتستهدف ضحايا محددين.
تم اكتشاف هذه الهجمات لأول مرة في منتصف يوليو عندما تم رصد سلوك غير عادي للملفات، مما قاد إلى اكتشاف ثغرة غير معروفة سابقًا في برنامج WinRAR. وقد تم إصلاح هذه الثغرة بسرعة بعد ستة أيام من الإبلاغ عنها للمطورين، علماً أن البرنامج يمتلك قاعدة مستخدمين واسعة تقدر بحوالي 500 مليون مستخدم.
يعتمد الاستغلال على ميزة في نظام التشغيل ويندوز تعرف باسم “تدفقات البيانات البديلة” لتفعيل ثغرة غير معروفة سابقاً في تجاوز المسار. وهذا يسمح للمهاجمين بتثبيت ملفات تنفيذية خبيثة في أدلة النظام الحساسة، والتي عادة ما تكون محمية ضد تنفيذ الأكواد غير المصرح بها.
وقد تم تحديد مجموعة RomCom، المعروفة بعملياتها المتطورة والتي تتخذ من روسيا مقراً لها، كإحدى الجهات المسؤولة عن هذه الهجمات. وهذه ليست المرة الأولى التي تستخدم فيها RomCom ثغرة من نوع “يوم الصفر”، مما يبرز تركيزها على الحصول على واستغلال الثغرات لتنفيذ هجمات مستهدفة. وتم تصنيف الثغرة المعنية تحت الرمز CVE-2025-8088.
ومن المثير للاهتمام أن RomCom ليست الوحيدة في استغلال هذه الثغرة. فقد تم تتبع مجموعة روسية أخرى، تعرف باسم Paper Werewolf أو GOFFEE، وهي تستغل نفس الثغرة كذلك. بالإضافة إلى ذلك، تستغل هذه المجموعة ثغرة أخرى شديدة الخطورة في WinRAR، تحمل الرمز CVE-2025-6218، والتي تم إصلاحها قبل أسابيع قليلة من معالجة المشكلة الحالية.
