CISA WinRAR-dəki CVE-2025-6218 boşluğunu “istismar edilən boşluqlar” siyahısına əlavə edib və xəbərdarlıq edir ki, yol keçidi (path traversal) ilə bağlı bu boşluq hazırda aktiv şəkildə sui-istifadə olunur. Problem WinRAR 7.12 versiyasında aradan qaldırılıb və yalnız Windows versiyalarına təsir edir. Bu boşluq istifadəçi zərərli faylı və ya veb səhifəni açdıqda kod icrasına səbəb ola bilər.
RARLAB bildirib ki, zəiflikdən istifadə edərək Windows Startup kimi həssas qovluqlara fayl yerləşdirmək mümkündür və bu da sistemə girişdən sonra nəzərdə tutulmamış kod icrasına gətirib çıxara bilər. BI.ZONE, Foresiet, SecPod və Synaptic Security tədqiqatçıları CVE-2025-6218 və onunla əlaqəli CVE-2025-8088 boşluqlarından sui-istifadə hallarını müşahidə ediblər.
GOFFEE kimi tanınan bir xaker qrupu bu boşluqlardan lokal təşkilatlara qarşı fişinq hücumlarında istifadə edib, Cənubi Asiya mərkəzli Bitter qrupu isə onları C# trojanının yayılması üçün silahlandırıb. Zərərli arxiv Word-un Normal.dotm şablonunu əvəz edir və avtomatik makro icrasını, həmçinin davamlı (persistent) girişin təmin edilməsini mümkün edir.
Trojan xarici idarəetmə serveri ilə əlaqə saxlayaraq klaviaturadan yığılanları qeyd edir (keylogging), ekran görüntüləri alır, RDP hesab məlumatlarını oğurlayır və faylları ötürür. Arxivlər hədəfli spear-phishing yoluyla yayılır.
Rusiyanın Gamaredon qrupu da bu boşluqdan Ukrayna qurumlarına qarşı hücumlarda istifadə edib, Pteranodon zərərli proqramını yerləşdirib və hətta yeni GamaWiper-i işə salıb — bu, onun ilk müşahidə edilən dağıdıcı əməliyyatı hesab olunur. ABŞ federal qurumları yeniləmələri ən gec 30 dekabr 2025-ci ilədək tətbiq etməlidirlər.
