Celah Path Traversal WinRAR Masih Dieksploitasi Banyak Kelompok Peretas
Kerentanan keamanan berbahaya pada WinRAR masih terus dieksploitasi oleh berbagai aktor ancaman, mulai dari kelompok negara hingga penjahat siber bermotif finansial. Celah ini dilacak sebagai CVE-2025-8088 dan memungkinkan penyerang mendapatkan akses awal ke sistem korban serta mengirimkan beragam muatan malware.
Kerentanan tersebut merupakan path traversal flaw yang menyalahgunakan Alternate Data Streams (ADS) di Windows untuk menulis file berbahaya ke lokasi arbitrer. Dalam banyak kasus, teknik ini digunakan untuk menanamkan malware ke folder Startup Windows agar tetap aktif setiap kali sistem dinyalakan ulang.
Dieksploitasi Sejak 2025 dan Masih Aktif
Peneliti dari perusahaan keamanan siber ESET pertama kali menemukan dan melaporkan celah ini pada Agustus 2025, setelah mendeteksi eksploitasi zero-day oleh kelompok pro-Rusia RomCom. Namun, laporan terbaru dari Google Threat Intelligence Group mengungkap bahwa eksploitasi sebenarnya telah berlangsung sejak 18 Juli 2025 dan masih berlanjut hingga awal 2026.
Menurut Google, eksploitasi CVE-2025-8088 kini dilakukan oleh berbagai aktor, baik yang bergerak di ranah spionase negara maupun kejahatan siber komersial. Pola serangan umumnya melibatkan arsip WinRAR berisi file umpan yang terlihat sah, seperti dokumen PDF, sementara muatan berbahaya disembunyikan di ADS dalam arsip yang sama.
Saat arsip dibuka, WinRAR akan mengekstrak payload tersembunyi tersebut melalui mekanisme directory traversal, lalu menjatuhkan file berbahaya seperti LNK, HTA, BAT, CMD, atau skrip lain yang otomatis dieksekusi saat pengguna login.
Aktor Negara hingga Penjahat Siber
Google mencatat sejumlah kelompok negara yang aktif memanfaatkan celah ini, antara lain:
- UNC4895 (RomCom/CIGAR) yang menargetkan unit militer Ukraina dengan muatan NESTPACKER melalui spear-phishing.
- APT44 (FROZENBARENTS) yang menggunakan file LNK berbahaya dan dokumen umpan berbahasa Ukraina.
- TEMP.Armageddon (CARPATHIAN) yang menjatuhkan downloader HTA ke folder Startup, dengan aktivitas berlanjut hingga 2026.
- Turla yang memanfaatkan tema militer Ukraina untuk menyebarkan rangkaian malware STOCKSTAY.
- Aktor yang dikaitkan dengan Tiongkok, menggunakan eksploit ini untuk mengirim malware POISONIVY dalam bentuk file BAT yang kemudian mengunduh payload lanjutan.
Selain itu, kelompok bermotif finansial juga terlihat aktif mengeksploitasi CVE-2025-8088 untuk mendistribusikan malware umum seperti XWorm, AsyncRAT, backdoor berbasis bot Telegram, hingga ekstensi perbankan berbahaya untuk browser Chrome.
Pasar Gelap Eksploit dan Ancaman Berkelanjutan
Seluruh aktor tersebut diyakini memperoleh eksploit siap pakai dari pemasok khusus di pasar gelap. Salah satu penjual dengan alias “zeroplayer” diketahui memasarkan eksploit WinRAR ini sejak Juli 2025, bersamaan dengan klaim penjualan celah bernilai tinggi lainnya, termasuk sandbox escape Microsoft Office, RCE VPN korporat, dan bypass solusi keamanan.
Google menilai fenomena ini sebagai bukti komoditisasi pengembangan eksploit, di mana kemampuan teknis tingkat tinggi kini dapat dibeli, sehingga mempercepat dan mempermudah penyerang menargetkan sistem yang belum ditambal.
Pentingnya Pembaruan Keamanan
Masih aktifnya eksploitasi CVE-2025-8088 menunjukkan bahwa banyak sistem tetap berjalan dengan versi WinRAR yang rentan. Pengguna dan organisasi disarankan untuk segera memperbarui perangkat lunak arsip mereka dan meningkatkan kewaspadaan terhadap arsip yang dikirim melalui email atau pesan instan, terutama yang menyertakan dokumen umpan.
Selama celah ini belum sepenuhnya tereliminasi dari ekosistem pengguna, WinRAR akan tetap menjadi vektor serangan favorit bagi berbagai kelompok peretas.
