與APT41有關的中國駭客加入利用WinRAR路徑遍歷漏洞的行列
漏洞背景與影響範圍
基本上,CVE-2025-8088屬於路徑遍歷(Path Traversal)型態的弱點,影響Windows平臺的WinRAR。攻擊者可透過特製的RAR檔,在受害者解壓縮檔案時,將惡意程式寫入系統啟動資料夾,進而執行木馬程式。
攻擊者動態與行為分析
根據Google威脅情報團隊(GTIG)的調查,自2025年7月以來,多個俄羅斯與中國國家級駭客組織,以及以經濟利益為動機的駭客組織,均加入此漏洞的利用行列。
其中,一個未公開名稱的中國駭客組織被發現會將BAT批次檔寫入啟動資料夾,進一步下載並執行木馬程式PoisonIvy,顯示其攻擊手法具有高度一致性。
資安公司Check Point亦針對中國APT駭客組織Amaranth-Dragon提出警告,指出該組織利用WinRAR已知漏洞CVE-2025-8088從事針對性攻擊,並部署TGAmaranth RAT。
漏洞利用與地下生態圈
由於各駭客組織的利用手法高度一致,GTIG認為這與漏洞在地下生態圈被「商品化」高度相關,顯示漏洞已被廣泛流通與套用。
該漏洞自2025年7月18日開始被利用,至今持續存在,且攻擊行動未見停止,涵蓋國家級威脅行為者與低級別網絡犯罪分子。