国家支援型と金銭目的の双方の複数の脅威アクターが、WinRARの高深刻度の脆弱性CVE-2025-8088を悪用して初期侵入を行い、さまざまな悪意あるペイロードを配布しています。
このセキュリティ問題は、Alternate Data Streams(ADS)を利用して任意の場所に悪意あるファイルを書き込めるパストラバーサルの欠陥です。攻撃者は過去にこれを悪用し、再起動後も持続させるためにWindowsのスタートアップフォルダーへマルウェアを設置してきました。
サイバーセキュリティ企業ESETの研究者がこの脆弱性を発見し、2025年8月上旬に、ロシア寄りのグループRomCom がゼロデイ攻撃でこれを悪用していたと報告しました。
本日のレポートで、Google Threat Intelligence Group(GTIG)は、悪用が2025年7月18日という早い時期に始まり、現在に至るまで、国家支援のスパイ活動アクターと、より下位の金銭目的のサイバー犯罪者の双方によって継続していると述べています。
「このエクスプロイトチェーンでは、アーカイブ内のデコイファイルのADSの中に悪意あるファイルを隠すことがよくあります。
「ユーザーは通常、アーカイブ内のPDFなどのデコイ文書を閲覧しますが、悪意あるADSエントリも存在し、隠されたペイロードを含むものもあれば、ダミーデータのものもあります」と、Googleの研究者は説明しています。
開くと、WinRARはディレクトリトラバーサルを用いてADSペイロードを展開し、ユーザーログイン時に実行されるLNK、HTA、BAT、CMD、またはスクリプトファイルを落とすことが多いとされています。
Googleの研究者がCVE-2025-8088を悪用しているのを確認した国家支援型の脅威アクターには、次が含まれます。
- UNC4895(RomCom/CIGAR):ウクライナ軍部隊に対するスピアフィッシングでNESTPACKER(Snipbot)を配布。
- APT44(FROZENBARENTS):悪意あるLNKファイルとウクライナ語のデコイを用いて、後続のダウンロードを実行。
- TEMP.Armageddon(CARPATHIAN):スタートアップフォルダーにHTAダウンローダーを投下(活動は2026年まで継続)。
- Turla(SUMMIT):ウクライナ軍をテーマにSTOCKSTAYマルウェアスイートを配布。
- 中国関連のアクター:追加ペイロードをダウンロードするBATファイルとして投下されるPOISONIVYを展開するためにエクスプロイトを使用。
出典:Google
Googleはまた、金銭目的のアクターがWinRARのパストラバーサルの欠陥を悪用し、XWormやAsyncRATといった汎用のリモートアクセスツールや情報窃取型マルウェア、Telegramボットで制御されるバックドア、Chromeブラウザ向けの悪意あるバンキング拡張機能を配布していることも確認しました。
これらの脅威アクターはいずれも、昨年7月にWinRARエクスプロイトを宣伝していた「zeroplayer」という別名を使う人物など、専門の供給元から動作するエクスプロイトを入手したとみられています。
同じ脅威アクターは昨年、Microsoft Officeのサンドボックス回避、企業向けVPNのRCE、Windowsのローカル権限昇格、セキュリティソリューション(EDR、アンチウイルス)の回避とされる複数の高価値エクスプロイトも販売しており、価格は8万ドルから30万ドルの間でした。
Googleは、これはサイバー攻撃のライフサイクルにおいて重要なエクスプロイト開発のコモディティ化を反映しており、攻撃者にとっての摩擦と複雑さを低減し、短期間で未パッチのシステムを標的にできるようにしているとコメントしています。
