Siber güvenlik firması ESET, popüler dosya sıkıştırma aracı WinRAR’da daha önce bilinmeyen kritik bir ‘sıfır gün’ güvenlik açığı tespit etti. Bu açık, Rusya bağlantılı RomCom (diğer adıyla Storm-0978) grubu tarafından Avrupa ve Kanada’daki finans, üretim, lojistik ve savunma şirketlerine karşı düzenlenen bir siber casusluk kampanyasında kullanıldı. ESET, tüm WinRAR kullanıcılarını potansiyel risklere karşı en kısa sürede yazılımlarını son sürüme güncellemeleri konusunda uyardı.
Güvenlik Açığı Nasıl Keşfedildi?
ESET araştırmacıları Peter Strýček ve Anton Cherepanov, 18-21 Temmuz 2025 tarihleri arasında gerçekleştirilen ve hedef odaklı kimlik avı (spearphishing) kampanyasında kullanılan kötü amaçlı bir RAR arşivindeki sıra dışı davranışları fark etti. Yapılan detaylı analizler sonucunda, saldırganların WinRAR 7.12 sürümünü de etkileyen, daha önce bilinmeyen bir güvenlik açığından faydalandığı ortaya çıktı. ESET, 24 Temmuz’da WinRAR’ın geliştiricisiyle iletişime geçtikten sonra, açık hızla beta sürümde düzeltildi ve birkaç gün içinde tam sürüm yayımlandı.
Uzmanlar, RomCom grubunun bu “sıfır gün” açığını kullanmasının, siber operasyonlara ciddi kaynak ve çaba harcamaya istekli olduklarını gösterdiğini belirtiyor. Hedeflenen sektörlerin, Rusya yanlısı siber grupların tipik ilgi alanlarıyla örtüşmesi, bu operasyonun arkasında jeopolitik bir motivasyon olabileceğini düşündürüyor.
CVE-2025-8088 Güvenlik Açığının Teknik Detayları
CVE-2025-8088 adı verilen bu güvenlik açığı, alternatif veri akışlarının kullanımıyla mümkün olan bir yol geçişi (path traversal) zafiyetidir. Saldırganlar, masum bir uygulama belgesi gibi görünen kötü amaçlı arşivler kullanarak hedeflerini ele geçirmeyi amaçladı. Kimlik avı e-postalarında, kurbanın açacağını umarak bir CV dosyası gönderildiği belirtiliyor.
ESET’in telemetri verilerine göre, bu siber casusluk girişimleri sırasında hedeflerin hiçbiri ele geçirilemedi. Ancak saldırganların önceden keşif yaptığı ve e-postaların son derece hedef odaklı olduğu belirlendi. Başarılı bir istismar girişimi durumunda, RomCom grubunun SnipBot varyantı, RustyClaw ve Mythic ajanı gibi çeşitli arka kapıları kullanabildiği de keşfedildi.
RomCom grubunun, savunma ve hükümet kurumları gibi stratejik hedeflere yönelik operasyonlar gerçekleştirdiği biliniyor. Haziran 2023’te de grup, Ukrayna Dünya Kongresi ile ilgili yemler kullanarak benzer bir hedef odaklı kimlik avı kampanyası yürütmüştü.
