ESET Research: Aan Rusland gelieerde hackers misbruiken nieuwe kwetsbaarheid, richten zich op bedrijven in Europa en Canada

Sliedrecht, 11 augustus 2025 – ESET -onderzoekers hebben een tot nu toe onbekende kwetsbaarheid in WinRAR ontdekt die in de praktijk werd misbruikt door de aan Rusland gelieerde groep RomCom. Volgens ESET-telemetrie werden kwaadaardige archieven ingezet in spearphishing-campagnes tussen 18 en 21 juli 2025, gericht op bedrijven in de financiële, productie-, defensie- en logistieke sector in Europa en Canada. Het doel van de aanvallen was cyberespionage. Dit is minimaal de derde keer dat RomCom op heterdaad wordt betrapt bij het misbruiken van een significante zero day-kwetsbaarheid in de praktijk.

“Op 18 juli zagen we een kwaadaardige DLL genaamd msedge.dll in een RAR-archief met ongebruikelijke paden die onze aandacht trokken. Na verdere analyse ontdekten we dat de aanvallers een tot dan toe onbekende kwetsbaarheid misbruikten die van invloed was op WinRAR, inclusief de toen actuele versie 7.12. Op 24 juli namen we contact op met de ontwikkelaar van WinRAR; diezelfde dag werd de kwetsbaarheid opgelost in een bètaversie en enkele dagen later volgde de volledige versie. We raden WinRAR-gebruikers aan om zo snel mogelijk de nieuwste versie te installeren om het risico te beperken,” aldus ESET-onderzoeker Peter Strýček, die de ontdekking deed samen met collega-onderzoeker Anton Cherepanov.

De kwetsbaarheid, CVE-2025-8088, is een path traversal-kwetsbaarheid die mogelijk wordt gemaakt door het gebruik van alternate data streams. Vermomd als een sollicitatiedocument maakten de schadelijke archieven misbruik van een path traversal-fout om doelwitten te compromitteren. In de spearphishing-e-mail stuurden de aanvallers een cv in de hoop dat een nieuwsgierige ontvanger dit zou openen. Volgens ESET-telemetrie is geen van de doelwitten daadwerkelijk gecompromitteerd. De aanvallers hadden echter vooraf verkenning uitgevoerd en de e-mails waren zeer gericht. Bij succesvolle exploitpogingen werden verschillende backdoors van de RomCom-groep ingezet, specifiek een SnipBot-variant, RustyClaw en de Mythic agent.

ESET Research schrijft deze activiteiten met hoge zekerheid toe aan RomCom op basis van de regio’s, gebruikte tactieken, technieken en procedures (TTP’s) en de ingezette malware. RomCom (ook bekend als Storm-0978, Tropical Scorpius of UNC2596) is een Rusland-gelieerde groep die zowel opportunistische campagnes tegen specifieke bedrijfstakken uitvoert als gerichte spionageoperaties. De focus van de groep is verschoven naar spionageactiviteiten voor inlichtingenvergaring, in aanvulling op haar meer conventionele cybercrime-operaties. De backdoor die de groep gebruikt, kan opdrachten uitvoeren en extra modules naar het slachtofferapparaat downloaden. Het is niet de eerste keer dat RomCom exploits gebruikt om doelwitten te compromitteren: in juni 2023 voerde de groep een spearphishing-campagne uit tegen defensie- en overheidsinstanties in Europa, met lokmiddelen die gerelateerd waren aan het Oekraïense Wereldcongres.

“Door een tot nu toe onbekende zero day-kwetsbaarheid in WinRAR uit te buiten, laat de RomCom-groep zien dat zij bereid is aanzienlijk te investeren in haar cyberoperaties. De ontdekte campagne richtte zich op sectoren die aansluiten bij de gebruikelijke belangen van Rusland-gelieerde APT-groepen, wat duidt op een geopolitieke motivatie achter de operatie,” concludeert Strýček.

Voor een gedetailleerde analyse en technische uitleg van de meest recente campagne van RomCom, lees de nieuwste ESET Research-blogpost “Update WinRAR tools now: RomCom and others exploiting zero-day vulnerability” op WeLiveSecurity.com. Volg ESET Research ook op X (voorheen Twitter) en BlueSky voor het laatste nieuws.

Over ESET

ESET® is het grootste IT-security bedrijf uit de Europese Unie en biedt al meer dan drie decennia geavanceerde digitale beveiliging om aanvallen te voorkomen nog voordat ze plaatsvinden. Door de kracht van AI en menselijke expertise te combineren, blijft ESET bekende en opkomende cyberdreigingen voor en beveiligt zo bedrijven, kritieke infrastructuur en individuen. Of het nu gaat om endpoint-, cloud- of mobiele bescherming, onze AI-native, cloud-first oplossingen en managed MDR en SOC diensten zijn zeer effectief en gebruiksvriendelijk. ESET’s bekroonde technologie bevat krachtige detectie en respons, ultraveilige encryptie en multifactor authenticatie. Onze managed MDR en-/of SOC diensten bieden 24/7 real-time verdediging en sterke lokale ondersteuning houden we gebruikers veilig en bedrijven draaiende zonder onderbreking. Een constant veranderend digitaal landschap vraagt om een vooruitstrevende benadering van beveiliging: ESET is toegewijd aan wetenschap en zet zich in voor grondig research onderzoek en betrouwbare Cyber Threat Intelligence, ondersteund door R&D-centra en een sterk wereldwijd partnernetwerk. Samen met onze partners beschermen we vooruitgang en streven we naar een veilige digitale toekomst voor iedereen. Ga voor meer informatie naar www.eset.com/nl of volg ons op LinkedIn, Facebook, Instagram en X.