Aanvallers maken op grote schaal misbruik van een kwetsbaarheid in WinRAR waarvoor vorig jaar juli een beveiligingsupdate verscheen, zo meldt Google. WinRAR heeft geen automatische updatefunctie, wat inhoudt dat gebruikers de update zelf handmatig moeten installeren. Via het beveiligingslek (CVE-2025-8088) kan een aanvaller willekeurige code op het systeem van slachtoffers uitvoeren, als die een speciaal geprepareerd archiefbestand openen. Hierbij worden bestanden in de Windows Startup directory geplaatst en bij het opstarten van het systeem uitgevoerd.

Het probleem werd op 24 juli verholpen in de bètaversie van WinRAR 7.13. De definitieve versie van WinRAR 7.13 verscheen op 30 juli. Op het moment dat deze versies verschenen was er al misbruik van het lek gemaakt. Antivirusbedrijf ESET, dat de kwetsbaarheid ontdekte, waarschuwde dat Europese bedrijven, waaronder in de financiële, productie, defensie en logistieke sectoren, via het lek waren aangevallen.

Hoewel een gepatchte versie al maanden beschikbaar is zijn er meerdere door staten gesteunde groepen aanvallers die nog altijd op grote schaal misbruik van CVE-2025-8088 maken, aldus de Google Threat Intelligence Group (GTIG). Deze groepen hebben zowel financieel gewin als spionage als motief. Volgens de onderzoekers kunnen aanvallers misbruik van bekende kwetsbaarheden blijven maken, omdat gebruikers nalaten beschikbare updates te installeren.