Lỗ hổng WinRAR đã được vá nhưng vẫn tiếp tục bị khai thác để phát tán mã độc, theo các báo cáo công khai từ Google Threat Intelligence Group (GTIG) và nhiều tổ chức nghiên cứu an ninh mạng quốc tế. Các nhà nghiên cứu cho biết dù nhà phát triển đã phát hành bản cập nhật khắc phục từ năm 2025, nhiều chiến dịch tấn công vẫn lợi dụng việc người dùng chưa cập nhật phần mềm để xâm nhập hệ thống.
Lỗ hổng nói trên được định danh là CVE-2025-8088, thuộc nhóm lỗi path traversal, ảnh hưởng đến cơ chế giải nén tập tin của phần mềm WinRAR trên hệ điều hành Windows. Đây là lỗi cho phép dữ liệu trong tập tin nén được ghi ra ngoài thư mục giải nén dự kiến, vượt qua các kiểm soát thông thường của ứng dụng.
Theo mô tả kỹ thuật được các tổ chức nghiên cứu công bố, trong một số kịch bản khai thác, tập tin nén độc hại có thể ghi dữ liệu trực tiếp vào thư mục Startup của Windows. Đây là thư mục chứa các chương trình tự động chạy mỗi khi người dùng đăng nhập hệ thống. Khi mã độc được ghi vào vị trí này, nó có thể tự động kích hoạt mà không cần thêm hành động từ người dùng, tạo điều kiện cho việc duy trì truy cập trái phép trong thời gian dài.
Lỗ hổng CVE-2025-8088 được công ty an ninh mạng ESET phát hiện và báo cáo trong năm 2025. Theo các tài liệu nghiên cứu được công bố, các chiến dịch tấn công ban đầu chủ yếu sử dụng email lừa đảo để phát tán tập tin nén chứa mã độc. Trong số các mã độc được ghi nhận có backdoor mà cộng đồng nghiên cứu an ninh mạng đặt tên là RomCom.
Lỗ hổng CVE-2025-8088 trong WinRAR cho phép kẻ tấn công lợi dụng cơ chế giải nén để ghi mã độc vào thư mục Startup của Windows, khiến mã độc tự chạy khi người dùng đăng nhập.
Báo cáo cập nhật sau đó của GTIG cho thấy, kể từ khi thông tin về lỗ hổng được công bố rộng rãi, nhiều nhóm tấn công khác nhau đã áp dụng cùng kỹ thuật khai thác trong các chiến dịch riêng biệt. Các nhóm này sử dụng nhiều hình thức tập tin và kịch bản phát tán khác nhau, nhưng đều dựa trên cơ chế ghi tập tin ra ngoài thư mục giải nén của WinRAR.
Tổng hợp từ các báo cáo công khai cho thấy một số nhóm được cộng đồng nghiên cứu an ninh mạng đặt tên như APT44, còn được gọi là Sandworm, và Turla đã bị ghi nhận nhắm mục tiêu vào các tổ chức chính phủ và quân sự. Trong các chiến dịch này, tin tặc sử dụng nhiều dạng tập tin khác nhau để tải và triển khai mã độc, trong đó có việc lợi dụng lỗ hổng WinRAR để đưa mã độc vào hệ thống mục tiêu.
Ngoài ra, các nhà nghiên cứu cũng ghi nhận một nhóm khác sử dụng tập tin BAT để triển khai mã độc POISONIVY trong một số chiến dịch riêng lẻ. Theo đánh giá của các tổ chức an ninh mạng, nhóm RomCom, còn được theo dõi dưới định danh UNC4895, là một trong những nhóm có hoạt động đa dạng khi vừa theo đuổi mục tiêu thu thập thông tin, vừa thực hiện các chiến dịch vì động cơ tài chính. Nhóm này thường phát tán các biến thể mã độc như Snipbot trong những chiến dịch được ghi nhận.
Theo GTIG, trong giai đoạn từ tháng 12-2025 đến tháng 1-2026, các nhà nghiên cứu tiếp tục ghi nhận nhiều chiến dịch phân phối công cụ điều khiển từ xa (RAT) và mã độc đánh cắp thông tin. Các hoạt động này diễn ra tại nhiều khu vực khác nhau, với phạm vi mục tiêu không chỉ giới hạn trong các chiến dịch tấn công có chủ đích mà còn mở rộng sang các hình thức tấn công phổ thông.
GTIG cũng cảnh báo về vai trò của thị trường ngầm mua bán công cụ tấn công trong việc làm gia tăng mức độ khai thác lỗ hổng. Theo báo cáo, một đối tượng sử dụng biệt danh “zeroplayer” bị phát hiện rao bán exploit WinRAR cùng nhiều công cụ nguy hiểm khác. Danh mục rao bán được cho là bao gồm công cụ phá bảo mật Microsoft Office với mức giá công bố lên tới 300.000 USD, cùng một công cụ được mô tả là “kill switch”, có khả năng vô hiệu hóa phần mềm diệt virus, với giá khoảng 80.000 USD.
Việc các công cụ tấn công được thương mại hóa trên các diễn đàn ngầm được các nhà nghiên cứu nhận định là yếu tố khiến các kỹ thuật khai thác lan rộng hơn, không chỉ giới hạn trong các nhóm có trình độ kỹ thuật cao mà còn rơi vào tay các đối tượng tội phạm mạng ít kinh nghiệm hơn.
Ngoài các nhóm tấn công có chủ đích, GTIG cho biết trong giai đoạn cuối năm 2025 đến đầu năm 2026, nhiều chiến dịch phát tán RAT và mã độc đánh cắp thông tin đã được ghi nhận tại nhiều khu vực. Các lĩnh vực bị nhắm tới bao gồm ngân hàng, du lịch, doanh nghiệp tại khu vực Mỹ Latin và Đông Nam Á. Một số chiến dịch được ghi nhận sử dụng nền tảng lưu trữ đám mây, các ứng dụng nhắn tin để phân phối mã độc cũng như điều khiển các hệ thống bị nhiễm.
Trước tình hình này, GTIG khuyến nghị người dùng cập nhật WinRAR lên phiên bản 7.13 trở lên, nơi lỗ hổng CVE-2025-8088 đã được khắc phục. Các chuyên gia của Google cho rằng việc duy trì cập nhật phần mềm định kỳ vẫn là tuyến phòng thủ cơ bản nhưng quan trọng nhằm giảm thiểu rủi ro trước các mối đe dọa an ninh mạng ngày càng phức tạp.