Rusya bağlantılı iki siber saldırı grubu, WinRAR yazılımındaki bir güvenlik açığını kullanarak Ukrayna kuruluşlarını hedef alan saldırılar düzenliyor. Trend Micro tarafından yapılan analizde, Earth Dahu (Gamaredon) ve SHADOW-EARTH-066 (UAC-0226) gruplarının, CVE-2025-8088 kodlu yol geçişi zafiyetini aktif olarak kullandığı belirtildi. Bu açık, saldırganların NTFS Alternatif Veri Akışları (ADS) aracılığıyla dosyaları çıkarma dizini dışına yazmasına olanak tanıyor.
SHADOW-EARTH-066 grubu, daha önce Excel makro damlacıkları kullanırken, şimdi GIFTEDCROOK adlı bilgi hırsızını yaymak için WinRAR açığını kullanıyor. Saldırı zinciri, bir PDF belgesi ve üç gizli ADS yükü içeren özel hazırlanmış RAR arşivleriyle başlıyor. Bu yükler, Başlangıç klasörüne yerleştirilen bir Windows Kısayolu (LNK) dosyası aracılığıyla otomatik olarak çalıştırılıyor ve PowerShell yükleyicisi üzerinden GIFTEDCROOK'u başlatıyor.
GIFTEDCROOK, Chromium tabanlı tarayıcılar (Google Chrome, Microsoft Edge, Opera) ve Mozilla Firefox'tan şifreler ve çerezler çalıyor. Ayrıca, kurbanın bilgisayarındaki belirli uzantılara sahip belgeleri topluyor. Veriler harici bir sunucuya sızdırıldıktan sonra tüm kötü amaçlı dosyalar silinerek adli izler yok ediliyor. Dikkat çeken bir değişiklik, veri sızıntısı için Telegram yerine özel komuta ve kontrol (C2) sunucularının kullanılması.
Earth Dahu grubu ise CVE-2025-8088 açığını en az Eylül 2025'ten beri kullanıyor. Grup, HTA-VBScript enfeksiyon zinciri üzerinden GammaPhish adlı HTML Uygulaması (HTA) dağıtıyor. Bu HTA, GammaLoad adlı VBScript indiricisini almak için kullanılıyor. GammaLoad, sürekli erişim sağlamak ve zamanla yükler dağıtmak için Ölü Damla Çözümleyiciler (DDR) kullanıyor. Son aşamada ise GammaSteel adlı kapsamlı bir bilgi hırsızı devreye giriyor.
Trend Micro araştırmacıları, "WinRAR'ın Ukrayna kuruluşlarının günlük operasyonlarında derin bir şekilde yerleşik olduğunu ve bu durumun onu sömürü için cazip bir hedef haline getirdiğini" vurguluyor. Hem yerleşik devlet destekli grupların hem de bağımsız olarak izlenen kümelerin tek bir güvenlik açığında birleşmesi, Ukrayna'nın karşı karşıya olduğu siber tehditlerin boyutunu gösteriyor.