في عالم التجسس الإلكتروني المعقد، أصبحت أداة ضغط الملفات الشهيرة WinRAR هدفًا لهجمات متقدمة. تم استغلال ثغرة حرجة من نوع “يوم الصفر”، تُعرف بـ CVE-2025-8088، من قبل مجموعتي قرصنة على الأقل، مما يسمح لهما بالتلاعب بمسارات الملفات أثناء الاستخراج وربما تثبيت برامج ضارة على أنظمة الضحايا دون علمهم.
تنشأ هذه الثغرة من تعامل WinRAR مع تدفقات البيانات البديلة في الأرشيفات المصممة خصيصًا، مما يتيح تجاوز المسارات المقصودة. يمكن للمهاجمين تضمين حمولة ضارة تُنفذ عند الاستخراج، مما يجعل التعامل الروتيني مع الملفات تهديدًا أمنيًا محتملاً. تم تحديد مجموعة القرصنة المرتبطة بروسيا والمعروفة باسم RomCom كلاعب رئيسي في استغلال هذه الثغرة، حيث تستخدم تكتيكات التصيد لتسليم ملفات RAR الملوثة. ثم تقوم البرمجيات الضارة بتأسيس تواجد دائم، غالبًا ما تنشر أبوابًا خلفية لمزيد من التغلغل.
تاريخ RomCom مع استغلالات “يوم الصفر” ملحوظ، حيث استهدفت سابقًا ثغرات في Microsoft Word وFirefox. تركيزهم على الأهداف ذات القيمة العالية في قطاعات المالية والدفاع واللوجستيات عبر أوروبا وكندا يبرز نواياهم الاستراتيجية.
مجموعة أخرى، تُعرف باسم Paper Werewolf، تم ربطها أيضًا بهجمات على كيانات روسية باستخدام نفس الثغرة. تشير عمليات هذه المجموعة إلى احتمال تداخل مع RomCom، رغم أن دوافعهم تبدو مدفوعة بالتجسس الصناعي المدعوم من الدولة.
أثار استغلال هذه الثغرة مخاوف كبيرة بشأن احتمال انتشارها. أصدرت مطورو WinRAR تحديثًا لإصلاح المشكلة، وحثوا المستخدمين على التحديث فورًا. ومع ذلك، تؤثر الثغرة ليس فقط على التطبيق الرئيسي بل أيضًا على الأدوات المرتبطة مثل UnRAR.dll، مما يزيد من المخاطر في البيئات المؤسسية حيث قد يستمر استخدام البرمجيات القديمة.
تسلط هذه الحادثة الضوء على مخاطر البرمجيات الخارجية في سلاسل التوريد. تُحث المنظمات على إعطاء الأولوية لتطبيق التحديثات وتنفيذ تدابير أمنية إضافية مثل تحليلات السلوك وتقنيات الحماية في بيئة معزولة لتقليل المخاطر. يبقى التحدي في التنبؤ بكيفية تطور تكتيكات مجموعات مثل RomCom، وربما ربط ثغرات “يوم الصفر” في هجمات متعددة المراحل.
ليست هذه هي المرة الأولى التي تواجه فيها WinRAR ثغرات “يوم الصفر”؛ فقد استُغلت مشكلة مشابهة في عام 2023 لاستهداف حسابات التداول. تبرز هذه الثغرات المتكررة نقاط الضعف المستمرة في بروتوكولات التعامل مع الملفات، مما يدفع المطورين إلى تعزيز ممارساتهم الأمنية.
مع تزايد تداخل التهديدات الإلكترونية مع التوترات الجيوسياسية، يُشجع قادة الصناعة على تعزيز جهود تبادل المعلومات الاستخباراتية. ومع قيام مجموعات مثل RomCom وPaper Werewolf بتحسين قدراتهم، يجب على المدافعين أن يظلوا يقظين لضمان عدم تحول الأدوات اليومية إلى مشاركين غير مقصودين في الحروب الرقمية.
