Aplikasi kompresi file populer WinRAR kembali jadi sorotan. Sebuah celah keamanan zero-day dengan tingkat keparahan tinggi ditemukan dan sedang aktif dieksploitasi oleh dua grup kejahatan siber asal Rusia.
Baca Juga : Microsoft Ingin Bikin Web Lebih Aman, Tapi Justru Buka Celah Baru
Celah ini dimanfaatkan untuk memasang backdoor di komputer korban melalui arsip berbahaya yang dikirim lewat email phishing, bahkan ada yang dipersonalisasi sesuai target.
Deteksi Awal oleh ESET
Perusahaan keamanan siber ESET mengungkap bahwa serangan ini pertama kali terdeteksi pada 18 Juli. Saat itu, sistem telemetri mereka menemukan file di jalur direktori yang tidak biasa.
Setelah penyelidikan, pada 24 Juli, ESET memastikan bahwa perilaku tersebut terkait eksploitasi kerentanan yang sebelumnya belum pernah diketahui di WinRAR aplikasi yang digunakan lebih dari 500 juta pengguna di seluruh dunia.
ESET segera memberi tahu pengembang WinRAR di hari yang sama, dan patch perbaikan dirilis enam hari kemudian.
Cara Kerja Eksploitasi
Kerentanan ini memanfaatkan alternate data streams di Windows fitur yang memungkinkan representasi berbeda dari jalur file yang sama. Eksploitasi tersebut memicu celah path traversal sehingga WinRAR menanam file berbahaya di folder seperti %TEMP% dan %LOCALAPPDATA%.
Biasanya, Windows membatasi akses ke folder ini karena berpotensi mengeksekusi kode berbahaya. Namun, celah ini justru menembus batasan tersebut.
RomCom dan CVE-2025-8088
ESET mengidentifikasi pelaku sebagai RomCom, grup kejahatan siber bermotif finansial asal Rusia yang dikenal punya sumber daya besar. Celah ini kini tercatat sebagai CVE-2025-8088.
“Dengan mengeksploitasi zero-day ini, RomCom menunjukkan keseriusannya dalam menginvestasikan sumber daya dan kemampuan untuk operasi siber,” tulis peneliti ESET Anton Cherepanov, Peter Strýček, dan Damien Schaeffer.
Ini adalah kali ketiga RomCom memanfaatkan zero-day di dunia nyata, menguatkan reputasinya dalam mencari dan menggunakan eksploit untuk serangan terarah.
Bukan Hanya Satu Pelaku
Menariknya, RomCom bukan satu-satunya pihak yang memanfaatkan CVE-2025-8088. BI.ZONE, perusahaan keamanan Rusia, melaporkan bahwa grup lain yang mereka sebut Paper Werewolf (alias GOFFEE) juga mengeksploitasi celah ini.
Paper Werewolf bahkan memanfaatkan satu celah lain, CVE-2025-6218, yang telah diperbaiki lima minggu sebelumnya. Mereka mengirim arsip berbahaya melalui email yang menyamar sebagai pegawai All-Russian Research Institute, dengan tujuan memasang malware dan mendapatkan akses ke sistem korban.
Tahapan Eksekusi Serangan
Menurut ESET, ada tiga rantai eksekusi yang digunakan:
- COM Hijacking: Menyembunyikan file DLL berbahaya dalam arsip yang dieksekusi oleh aplikasi seperti Microsoft Edge, lalu memasang Mythic Agent.
- Eksekusi File Windows: Menjalankan file EXE untuk memasang SnipBot, malware khas RomCom yang anti-analisis forensik.
- Penggunaan Malware Lain: Mengandalkan dua malware lain, RustyClaw dan Melting Claw.
Sejarah Kerentanan WinRAR
Ini bukan kali pertama WinRAR jadi sasaran. Tahun 2019, kerentanan eksekusi kode dieksploitasi secara luas tak lama setelah patch keluar. Pada 2023, zero-day lain digunakan selama lebih dari empat bulan sebelum terdeteksi.
Salah satu alasan WinRAR sering jadi target adalah tidak adanya sistem pembaruan otomatis. Pengguna harus mengunduh dan menginstal patch secara manual. Versi aman terbaru saat ini adalah 7.13, yang sudah menutup semua celah yang diketahui.
Namun, ESET mengingatkan bahwa UnRAR.dll versi Windows dan UnRAR source code yang portabel juga rentan. Pengguna disarankan untuk menghindari semua versi WinRAR sebelum 7.13.
Baca Juga : OpenAI Aktifkan Kembali GPT-4o Setelah Ramai Protes Pengguna
Dua grup peretas asal Rusia RomCom dan Paper Werewolf telah memanfaatkan celah zero-day di WinRAR untuk melakukan serangan siber terarah. Dengan basis pengguna yang masif dan pembaruan manual, WinRAR menjadi target empuk.
Tips: Segera perbarui WinRAR Anda ke versi 7.13 atau yang lebih baru untuk mengurangi risiko serangan.
