文章总结： 谷歌情报小组披露WinRAR漏洞CVE-2025-8088遭多方滥用。攻击者利用路径遍历漏洞将恶意文件写入启动文件夹以获取持久化。俄罗斯APT及经济犯罪团伙借此传播恶意软件。建议立即更新WinRAR并启用安全浏览，同时加强对利用链的检测。 综合评分： 90 文章分类： 威胁情报,漏洞分析,恶意软件

谷歌关于多个威胁行为者利用 WinRAR 严重漏洞 CVE-2025-8088 进行攻击分析

原创

谷歌威胁情报小组 谷歌威胁情报小组

暗镜

2026年1月29日 10:00 北京

谷歌威胁情报小组 (GTIG) 发现，WinRAR（一款流行的 Windows 文件压缩工具）中的关键漏洞CVE-2025-8088正被广泛且积极地利用，用于建立初始访问权限并传播各种恶意代码。该漏洞于 2025 年 7 月被发现并修复，但与俄罗斯和中国有关联的政府支持的威胁行为者以及出于经济利益驱动的威胁行为者仍在利用该漏洞进行各种攻击。这种一致的利用方法——利用路径遍历漏洞将文件植入 Windows 启动文件夹以实现持久化——凸显了应用程序基本安全性和用户安全意识方面的防御漏洞。

在这篇博文中，我们详细介绍了 CVE-2025-8088 及其典型的利用链，重点介绍了由经济动机和国家支持的间谍行为者利用该漏洞的情况，并提供了 IOC 以帮助防御者检测和追踪本文中描述的活动。

为了防范此类威胁，我们敦促各组织和用户保持软件最新状态，并在安全更新发布后立即安装。即使漏洞已被修复，恶意攻击者仍会继续利用漏洞利用的“n天漏洞”，并利用缓慢的补丁更新速度来达到其目的。我们还建议使用Google 安全浏览和 Gmail，它们能够主动识别并阻止包含漏洞利用程序的文件。

漏洞和利用机制

CVE-2025-8088 是 WinRAR 中的一个高危路径遍历漏洞，攻击者利用备用数据流 (ADS) 来攻击该漏洞。攻击者可以创建恶意 RAR 压缩文件，当这些文件被存在漏洞的 WinRAR 版本打开时，攻击者可以将文件写入系统上的任意位置。该漏洞最早于 2025 年 7 月 18 日开始被利用，RARLAB在随后不久（2025 年 7 月 30 日）发布的WinRAR 7.13 版本中修复了该漏洞。

攻击链通常涉及将恶意文件隐藏在压缩包内诱饵文件的广告数据结构 (ADS) 中。虽然用户通常会在压缩包内看到一个诱饵文档（例如 PDF），但其中也包含恶意 ADS 条目，有些包含隐藏的有效载荷，而另一些则是虚拟数据。

该有效载荷使用精心构造的路径，旨在遍历到关键目录，通常以 Windows 启动文件夹为目标以实现持久化。路径遍历的关键在于结合使用 ADS 功能和目录遍历字符。

例如，RAR 压缩包中的文件可能具有类似这样的复合名称，innocuous.pdf:malicious.lnk并结合恶意路径：../../../../../Users/<user>/AppData/Roaming/Microsoft/Windows/Start Menu/Programs/Startup/malicious.lnk。

当存档打开时，ADS 内容（malicious.lnk）被提取到遍历路径指定的目标位置，并在用户下次登录时自动执行有效载荷。

国家支持的间谍活动

多个政府支持的攻击者已利用 CVE-2025-8088 漏洞，主要针对军事、政府和科技目标。这与2023 年 WinRAR 已知漏洞 CVE-2023-38831 被广泛利用的情况类似，凸显出即使已有补丁，针对已知漏洞的攻击仍然可能非常有效。

与俄罗斯有关联的行动者瞄准乌克兰

疑似与俄罗斯有关联的威胁组织不断利用 CVE-2025-8088 漏洞，通过高度定制的地缘政治诱饵，对乌克兰军事和政府实体发起攻击。

• UNC4895 (CIGAR)：UNC4895（也曾被公开报道为 RomCom）是一个以金融和间谍活动为目的的威胁组织，其攻击活动通常涉及针对特定收件人的诱饵式网络钓鱼邮件。我们观察到邮件主题显示其目标指向乌克兰军事单位。最终有效载荷属于 NESTPACKER 恶意软件家族（外部名称为 Snipbot）。

图2：来自UNC4895活动的乌克兰语诱饵文件

• APT44 (FROZENBARENTS)：这个俄罗斯 APT 组织利用 CVE-2025-8088 漏洞投放一个带有乌克兰语文件名的诱饵文件，以及一个恶意 LNK 文件，试图进行进一步下载。
• TEMP.Armageddon（喀尔巴阡山脉）：该攻击者同样以乌克兰政府机构为目标，使用 RAR 压缩包将 HTA 文件投放到启动文件夹中。HTA 文件充当第二阶段的下载器。初始下载器通常包含在一个 HTML 文件内。此活动持续到 2026 年 1 月。
• Turla（SUMMIT）：该攻击者利用 CVE-2025-8088 漏洞传播 STOCKSTAY 恶意软件套件。观察到的诱饵主题与乌克兰军事活动和无人机行动有关。

以经济利益为动机的活动

受经济利益驱动的威胁行为者也迅速利用这一漏洞，针对商业目标部署通用远程访问木马和信息窃取程序。

• 一个曾利用诱饵文档攻击印尼境内实体的犯罪团伙利用此漏洞，将一个 .cmd 文件植入启动文件夹。该脚本随后会从 Dropbox 下载一个受密码保护的 RAR 压缩包，其中包含一个后门程序，该程序可与 Telegram 机器人进行通信并控制。
• 一个以酒店和旅游业为目标的组织，尤其是在拉丁美洲，正在使用以酒店预订为主题的网络钓鱼电子邮件，最终传播诸如 XWorm 和 AsyncRAT 之类的通用 RAT。
• 一个犯罪团伙通过银行网站向巴西用户投放恶意 Chrome 扩展程序，该扩展程序会将 JavaScript 注入到两个巴西银行网站的页面中，以显示钓鱼内容并窃取凭据。
• 2026 年 12 月和 1 月，我们继续观察到网络犯罪分子利用 CVE-2025-8088 漏洞传播恶意软件，包括通用远程访问工具和窃取程序。

地下漏洞利用生态系统：像“zeroplayer”这样的供应商

各种攻击者广泛利用 CVE-2025-8088 漏洞，凸显了对有效漏洞利用程序的需求。这种需求由地下经济满足，其中个人和团体专门开发和销售漏洞利用程序，并向各类客户出售。一个值得注意的上游供应商是名为“zeroplayer”的攻击者，他于 2025 年 7 月发布了一款 WinRAR 漏洞利用程序。

WinRAR漏洞并非zeroplayer唯一拥有的漏洞利用程序。长期以来，尤其是在最近几个月，zeroplayer持续提供其他高价漏洞利用程序，这些程序可能使攻击者绕过安全措施。该组织宣传的漏洞利用程序包括但不限于以下内容：

• 2025 年 11 月，zeroplayer 声称拥有针对 Microsoft Office 的沙盒逃逸远程代码执行零日漏洞，并以 30 万美元的价格出售。
• 2025 年 9 月下旬，zeroplayer 为一家知名的、未具名的企业 VPN 提供商发布了 RCE 零日漏洞利用广告；该漏洞利用的价格未作说明。
• 从 2025 年 10 月中旬开始，zeroplayer 发布了针对 Windows 的零日本地权限提升 (LPE) 漏洞利用程序，标价 10 万美元。
• 2025 年 9 月初，zeroplayer 发布了一项针对未指定驱动器中存在的漏洞的零日攻击公告，该漏洞允许攻击者禁用防病毒 (AV) 和端点检测与响应 (EDR) 软件；该漏洞的广告价格为 80,000 美元。

zeroplayer 作为上游漏洞利用程序供应商的持续活动凸显了攻击生命周期的不断商品化。通过提供即用型功能，像 zeroplayer 这样的组织降低了威胁行为者的技术复杂性和资源需求，使得具有不同动机的组织——从勒索软件部署到国家支持的情报收集——都能利用各种各样的功能。

结论

各类威胁行为者对 CVE-2025-8088 的广泛且机会主义的利用，凸显了其作为通用初始访问向量的可靠性。这也鲜明地提醒我们，n 天漏洞带来的持续威胁不容忽视。当一个关键漏洞的可靠概念验证进入网络犯罪和间谍活动市场时，其应用速度之快令人咋舌，模糊了政府支持的复杂行动与以经济利益为目的的活动之间的界限。该漏洞的迅速普及进一步表明，成功防御此类威胁需要立即对应用程序进行修补，并彻底转变思路，转向检测一致且可预测的后利用战术、技术和程序 (TTP)。

妥协指标（IOC）

为了帮助更广泛的社区查找和识别本博客文章中概述的活动，我们已将入侵指标 (IOC) 纳入GTI集合，供注册用户使用。

文件指示器

| | | | — | — | | 文件名 | SHA-256 | | 1_14_5_1472_29.12.2025.rar | 272c86c6db95f1ef8b83f672b65e64df16494cae261e1aba1aeb1e59dcb68524 | | 2_16_9_1087_16.01.2026.rar | 33580073680016f23bf474e6e62c61bf6a776e561385bfb06788a4713114ba9d | | 5_18_6_1405_25.12.2025.rar | 498961237cf1c48f1e7764829818c5ba0af24a234c2f29c4420fb80276aec676 | | 2_13_3_1593_26.12.2025.rar | 4f4567abe9ff520797b04b04255bbbe07ecdddb594559d436ac53314ec62c1b3 | | 5_18_6_1028_25.12.2025.rar | 53f1b841d323c211c715b8f80d0efb9529440caae921a60340de027052946dd9 | | 2_12_7_1662_26.12.2025.rar | 55b3dc57929d8eacfdadc71d92483eabe4874bf3d0189f861b145705a0f0a8fe | | 1_11_4_1742_29.12.2025.rar | 68d9020aa9b509a6d018d6d9f4c77e7604a588b2848e05da6a4d9f82d725f91b | | 2_18_3_1468_16.01.2026.rar | 6d3586aa6603f1c1c79d7bd7e0b5c5f0cc8e8a84577c35d21b0f462656c2e1f9 | | 1_16_2_1428_29.12.2025.rar | ae93d9327a91e90bf7744c6ce0eb4affb3acb62a5d1b2dafd645cba9af28d795 | | 1_12_7_1721_29.12.2025.rar | b90ef1d21523eeffbca17181ccccf269bca3840786fcbf5c73218c6e1d6a51a9 | | 不适用 | c7726c166e1947fdbf808a50b75ca7400d56fa6fef2a76cefe314848db22c76c | | 1_15_7_1850_29.12.2025.rar | e836873479ff558cfb885097e8783356aad1f2d30b69d825b3a71cb7a57cf930 | | 2_16_2_1526_26.12.2025.rar | ffc6c3805bbaef2c4003763fd5fac0ebcccf99a1656f10cf7677f6c2a5d16dbd | | 不适用 | 958921ea0995482fb04ea4a50bbdb654f272ab991046a43c1fdbd22da302d544 | | підтверджуючі документи.pdf | defe25e400d4925d8a2bb4b1181044d06a8bf61688fd9c9ea59f1e0bb7bc21d8 | | Desktop_Internet.lnk | edc1f7528ca93ec432daca820f47e08d218b79cceca1ee764966f8f90d6a58bd | | 不适用 | 29f89486bb820d40c9bee8bf70ee8664ea270b16e486af4a53ab703996943256 | | 不适用 | 2c40e7cf613bf2806ff6e9bc396058fe4f85926493979189dbdbc7d615b7cb14 | | 不适用 | 3b85d0261ab2531aba9e2992eb85273be0e26fe61e4592862d8f45d6807ceee4 | | 不适用 | 54305c7b95d8105601461bb18de87f1f679d833f15e38a9ee7895a0c8605c0d0 | | 不适用 | 5dee69127d501142413fb93fd2af8c8a378682c140c52b48990a5c41f2ce3616 | | 不适用 | 867a05d67dd184d544d5513f4f07959a7c2b558197c99cb8139ea797ad9fbece | | 不适用 | 91e61fd77460393a89a8af657d09df6a815465f6ce22f1db8277d58342b32249 | | 不适用 | b2b62703a1ef7d9d3376c6b3609cd901cbccdcca80fba940ce8ed3f4e54cdbe6 | | 不适用 | cf35ce47b35f1405969f40633fcf35132ca3ccb3fdfded8cc270fc2223049b80 | | 不适用 | d981a16b9da1615514a02f5ebb38416a009f5621c0b718214d5b105c9f552389 | | 不适用 | ddd67dda5d58c7480152c9f6e8043c3ea7de2e593beedf86b867b83f005bf0cc | | 不适用 | ea0869fa9d5e23bdd16cddfefbbf9c67744598f379be306ff652f910db1ba162 | | 不适用 | ef0e1bb2d389ab8b5f15d2f83cf978662e18e31dbe875f39db563e8a019af577 | | 不适用 | f3e5667d02f95c001c717dfc5a0e100d2b701be4ec35a3e6875dc276431a7497 | | 不适用 | f6761b5341a33188a7a1ca7a904d5866e07b8ddbde9adebdbce4306923cfc60a | | 不适用 | fc2a6138786fae4e33dc343aea2b1a7cd6411187307ea2c82cd96b45f6d1f2a0 | | 不适用 | a97f460bfa612f1d406823620d0d25e381f9b980a0497e2775269917a7150f04 | | 不适用 | d418f878fa02729b38b5384bcb3216872a968f5d0c9c77609d8c5aacedb07546 | | 3-965_26.09.2025.HTA | ba86b6e0199b8907427364246f049efd67dc4eda0b5078f4bc7607253634cf24 | | Заява про скоєння злочину 3-965_26.09.2025.rar | cf8ebfd98da3025dc09d0b3bbeef874d8f9c4d4ba4937719f0a9a3aa04c81beb | | 合作提案_3415.05092025.rar | 5b64786ed92545eeac013be9456e1ff03d95073910742e45ff6b88a86e91901b | | 不适用 | 8a7ee2a8e6b3476319a3a0d5846805fd25fa388c7f2215668bc134202ea093fa | | 不适用 | 3b47df790abb4eb3ac570b50bf96bb1943d4b46851430ebf3fc36f645061491b | | 文档.rar | bb4856a66bf7e0de18522e35798c0a8734179c1aab21ed2ad6821aaa99e1cb4c | | 更新.bat | aea13e5871b683a19a05015ff0369b412b985d47eb67a3af93f44400a026b4b0 | | ocean.rar | ed5b920dad5dcd3f9e55828f82a27211a212839c8942531c288535b92df7f453 | | expl.rar | a54bcafd9d4ece87fa314d508a68f47b0ec3351c0a270aa2ed3a0e275b9db03c | | BrowserUpdate.lnk | b53069a380a9dd3dc1c758888d0e50dd43935f16df0f7124c77569375 |

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：暗镜 谷歌威胁情报小组 谷歌威胁情报小组《谷歌关于多个威胁行为者利用 WinRAR 严重漏洞 CVE-2025-8088 进行攻击分析》