Kerentanan berbahaya di aplikasi kompresi file populer WinRAR sedang dieksploitasi oleh dua kelompok kejahatan siber asal Rusia. Celah keamanan ini memungkinkan peretas menanamkan malware di komputer korban hanya dengan membuka arsip berisi jebakan yang dikirim lewat email phishing, termasuk yang dibuat khusus untuk target tertentu.
Perusahaan keamanan ESET mengungkap bahwa serangan ini terdeteksi pertama kali pada 18 Juli 2025. Enam hari setelah laporan ESET, pihak pengembang merilis pembaruan untuk menutup celah yang kini diberi kode CVE-2025-8088. Kerentanan ini memanfaatkan fitur Windows bernama alternate data streams untuk menanam file berbahaya di lokasi yang biasanya dilindungi sistem.
ESET menyebut pelaku utama adalah kelompok RomCom, yang dikenal memiliki sumber daya besar dan pernah menggunakan beberapa zero-day sebelumnya. Namun, firma keamanan lain menemukan kelompok lain bernama Paper Werewolf juga mengeksploitasi celah yang sama, serta satu kerentanan WinRAR lain (CVE-2025-6218) yang sudah diperbaiki lima minggu sebelumnya.
Kedua kelompok ini mengirim arsip berbahaya melalui email yang menyamar sebagai pegawai lembaga riset Rusia. Targetnya adalah menginstal malware untuk mengambil alih sistem korban. ESET mencatat ada tiga pola serangan berbeda, termasuk metode COM hijacking, pemasangan malware SnipBot, serta pemakaian malware RomCom lain seperti RustyClaw dan Melting Claw.
Pengguna disarankan segera memperbarui WinRAR ke versi 7.13 atau lebih baru, karena semua versi sebelumnya rentan. WinRAR dianggap rawan dimanfaatkan karena tidak memiliki fitur pembaruan otomatis, sehingga banyak pengguna yang tertinggal update.
Serangan ini menunjukkan pola eksploitasi berulang terhadap WinRAR yang sudah terjadi sejak 2019. Fakta bahwa dua kelompok berbeda memanfaatkan celah yang sama hampir bersamaan mengindikasikan kemungkinan kebocoran atau penjualan informasi kerentanan di forum kejahatan siber.
Teknik yang digunakan, seperti alternate data streams dan path traversal, menunjukkan keahlian teknis tinggi pelaku, memungkinkan malware ditanam di lokasi sensitif tanpa terdeteksi. RomCom juga menggunakan tiga rantai serangan berbeda, strategi yang mempersulit deteksi dan penanggulangan.
Masalah terbesar ada pada kelemahan model pembaruan WinRAR yang mengandalkan update manual. Tanpa mekanisme otomatis, sebagian besar pengguna tetap rentan meski patch sudah dirilis. Dengan basis pengguna sekitar 500 juta, potensi dampak serangan ini sangat luas.
Kesimpulannya, organisasi perlu segera memperbarui WinRAR atau mempertimbangkan alternatif yang lebih aman, menerapkan filter email ketat, serta memantau aktivitas sistem untuk indikasi kompromi. Serangan ini membuktikan bahwa popularitas sebuah aplikasi justru menjadikannya target utama, apalagi bila kelemahan patching masih menjadi celah.