Zehn Monate nach dem Fix nutzt eine FSB-nahe Hackergruppe eine WinRAR-Schwachstelle aktiv aus. Ziele sind ukrainische Regierungs- und Militärnetzwerke, die Malware ist außergewöhnlich aufwändig gebaut. Für alle, die WinRAR noch nicht auf 7.13 aktualisiert haben: das ist die Erinnerung.
CVE-2025-8088 — Patch vorhanden, Ausnutzung trotzdem aktiv
CVE-2025-8088 ist eine Path-Traversal-Lücke in WinRAR bis Version 7.12 (CVSS 8.4). Speziell präparierte Archive extrahieren Dateien in beliebige Verzeichnisse — darunter direkt in den Windows-Startordner, ohne weitere Nutzerinteraktion nötig. Der Patch steht seit WinRAR 7.13 Final (Juli 2025) bereit. Google Threat Intelligence bestätigt trotzdem aktive Ausnutzung bis mindestens Ende Januar 2026 — durch mehrere Akteure gleichzeitig: Gamaredon, weitere russische und chinesische Staatshacker sowie finanziell motivierte Gruppen.
Bei meinen KMU-Kunden ist WinRAR auf etlichen Rechnern installiert, meist in Versionen, die seit dem letzten Hardware-Rollout einfach mitlaufen. Zentrales Update-Management für so eine Desktop-Anwendung fehlt vielerorts — genau da liegen die offenen Flanken.
Zwei Malware-Familien, technisch bemerkenswert aufgebaut
Die Infektion beginnt mit einem XHTML-Dokument per Spear-Phishing, das per HTML-Smuggling ein präpariertes RAR-Archiv nachlädt. CVE-2025-8088 schreibt dann direkt eine HTA-Datei in den Windows-Startordner. Danach läuft die Kette: GammaPhish → GammaLoad (VBScript-Loader) → GammaWorm und GammaSteel.
GammaWorm verbreitet sich über USB-Laufwerke und Netzwerkfreigaben, indem es legitime Verzeichnisse versteckt und durch bösartige LNK-Shortcuts ersetzt. GammaSteel ist raffinierter: 71 verschlüsselte PowerShell-Module, ausschließlich in der Windows-Registry gespeichert, per Windows DPAPI geschützt — kein einziges Dateisystem-Artefakt. Exfiltration läuft zu AWS S3 oder direkt auf Angreifer-Server.
Das ist kein Skript-Kiddie-Werkzeug. Die Sekoia-Analysten, die die Kampagne seit Januar 2026 dokumentieren, beschreiben das Design als „resilient, massive, highly obfuscated“ — klassische signaturbasierte Erkennung kommt hier schnell an ihre Grenzen.
Telegram als toter Briefkasten — ein Problem für Netzwerk-Admins
Für Command and Control nutzt GammaWorm Dead-Drop-Resolver: öffentliche Seiten auf Telegram, Telegra.ph und Cloudflare Workers, auf denen die aktuellen C2-Adressen hinterlegt sind. Wer glaubt, das mit Domain-Blocklisten lösen zu können, wird schnell merken, dass das nicht funktioniert — die Angreifer operieren auf Diensten, die niemand ernsthaft sperren kann.
Unmittelbare Maßnahme: WinRAR 7.13 installieren. Der Patch ist seit zehn Monaten verfügbar, die Ausnutzung läuft trotzdem noch. RAR-Anhänge aus E-Mails gehören grundsätzlich in die Hochrisiko-Kategorie, auch wenn der Absender bekannt wirkt. Gamaredon zielt primär auf Ukraine — aber CVE-2025-8088 wird parallel von mehreren Akteuren weltweit verwendet. Wer das Risiko auf Osteuropa eingrenzen möchte, unterschätzt, wie vielseitig diese Schwachstelle inzwischen eingesetzt wird.
