Lỗ hổng nghiêm trọng trên WinRAR vẫn đang bị hàng loạt nhóm hacker nhà nước và tội phạm mạng khai thác triệt để

Cơ chế tấn công tinh vi qua tệp nén Nhiều tác nhân đe dọa đang tích cực khai thác lỗ hổng có mức độ nghiêm trọng cao mang mã hiệu CVE-2025-8088 trong WinRAR để giành quyền truy cập ban đầu và phát tán các mã độc nguy hiểm. Đây là một lỗ hổng duyệt đường dẫn (path traversal), cho phép kẻ tấn công lợi dụng Luồng dữ liệu thay thế (Alternate Data Streams - ADS) để ghi các tệp độc hại vào bất kỳ vị trí nào trên máy tính nạn nhân. Trong quá khứ, kỹ thuật này thường được sử dụng để cài cắm phần mềm độc hại vào thư mục Khởi động (Startup) của Windows, giúp mã độc tự động kích hoạt mỗi khi máy tính khởi động lại.

Chuỗi tấn công thường bắt đầu bằng việc kẻ gian giấu tệp độc hại bên trong ADS của một tệp mồi nhử (như văn bản PDF) nằm trong tệp nén. Khi người dùng giải nén, WinRAR sẽ trích xuất mã độc thông qua lỗi duyệt thư mục, thường thả các tệp định dạng LNK, HTA, BAT, CMD hoặc các tập lệnh thực thi ngay khi người dùng đăng nhập.

Quy mô tấn công từ gián điệp đến tội phạm tài chính Theo báo cáo từ Nhóm Phân tích Mối đe dọa của Google (Google Threat Intelligence Group), hoạt động khai thác lỗ hổng này đã bắt đầu từ ngày 18/07/2025 và vẫn tiếp diễn cho đến tận năm 2026. Google đã chỉ mặt điểm tên hàng loạt nhóm tin tặc được nhà nước hậu thuẫn tham gia vào chiến dịch này. Điển hình như nhóm UNC4895 (RomCom) sử dụng phương thức lừa đảo spearphishing để nhắm vào các đơn vị quân đội Ukraine. Nhóm APT44 (FROZENBARENTS) và Turla (SUMMIT) sử dụng các tệp mồi nhử tiếng Ukraine và phần mềm độc hại để tấn công. Đặc biệt, nhóm TEMP.Armageddon vẫn đang tiếp tục thả các trình tải xuống HTA vào thư mục Startup trong năm 2026, và các nhóm liên kết với Trung Quốc cũng bị phát hiện sử dụng lỗ hổng này để triển khai mã độc POISONIVY.

Bên cạnh các mục tiêu chính trị, các nhóm tội phạm tài chính cũng không bỏ qua cơ hội này. Chúng sử dụng lỗi của WinRAR để phân phối các công cụ truy cập từ xa và đánh cắp thông tin như XWorm, AsyncRAT, hoặc các tiện ích mở rộng độc hại trên trình duyệt Chrome nhằm đánh cắp tài khoản ngân hàng.

Thương mại hóa công cụ tấn công Các chuyên gia tin rằng những kẻ tấn công này đã mua công cụ khai thác từ các nhà cung cấp chuyên biệt trên thị trường chợ đen. Một nhân vật có biệt danh "zeroplayer" đã rao bán công cụ khai thác WinRAR này vào tháng 7 năm ngoái. Người này cũng được cho là đã bán nhiều lỗ hổng zero-day giá trị cao khác nhắm vào Microsoft Office hay VPN doanh nghiệp với mức giá dao động từ 80.000 đến 300.000 USD. Google nhận định rằng xu hướng "hàng hóa hóa" việc phát triển mã khai thác này đang làm giảm rào cản kỹ thuật, cho phép kẻ tấn công nhắm mục tiêu vào các hệ thống chưa được vá lỗi trong thời gian ngắn.