Perangkat lunak kompresi file populer, WinRAR, kembali menjadi sasaran empuk para peretas. Celah keamanan kritis yang belum lama ditambal, yaitu CVE-2025-8088, dilaporkan masih terus dieksploitasi secara luas oleh berbagai kelompok peretas, termasuk aktor negara dan penjahat siber dari seluruh dunia.
Kerentanan CVE-2025-8088 pertama kali dilaporkan oleh ESET dan telah ditambal oleh RARLAB dengan rilis WinRAR versi 7.13 pada 30 Juli 2025. Namun, masalahnya adalah WinRAR tidak memiliki fungsi pembaruan otomatis. Hal ini berarti banyak pengguna yang masih menggunakan versi lama dan rentan terhadap serangan.
Celah keamanan yang dijuluki “path traversal” ini memungkinkan penyerang untuk menempatkan file berbahaya ke dalam folder startup sistem operasi Windows. Dengan demikian, peretas dapat memperoleh kontrol penuh dan persisten atas sistem korban tanpa terdeteksi. GTIG melaporkan bahwa aktivitas eksploitasi ini telah terdeteksi secara aktif sejak pertengahan Juli 2025, bahkan sebelum kerentanan tersebut secara resmi ditambal oleh RARLAB, pengembang WinRAR.
Eksploitasi dengan Motivasi Keuntungan Finansial
Laporan terbaru dari Google Threat Intelligence Group mengindikasikan bahwa eksploitasi CVE-2025-8088 masih marak terjadi di berbagai operasi. Aktor yang disponsori oleh negara-negara seperti Rusia dan Tiongkok, serta kelompok penjahat siber yang termotivasi oleh keuntungan finansial, semuanya memanfaatkan celah ini. Metode eksploitasi yang konsisten melibatkan penempatan file berbahaya ke dalam folder startup Windows untuk mempertahankan akses.
GTIG mengamati bahwa kelompok yang disponsori negara Rusia secara konsisten mengeksploitasi CVE-2025-8088 dalam kampanye yang menargetkan entitas militer dan pemerintah Ukraina, menggunakan umpan geopolitik yang sangat disesuaikan. Sementara itu, aktor yang berbasis di Tiongkok juga dilaporkan mengeksploitasi kerentanan ini untuk menyebarkan malware PoisonIvy.
Di sisi lain, kelompok penjahat siber juga aktif menggunakan celah ini. Laporan menyebutkan adanya kelompok yang menargetkan pengguna di Indonesia, Amerika Latin, dan Brasil. Mereka menggunakan email phishing bertema pemesanan hotel untuk akhirnya mengirimkan RAT (Remote Access Trojan) komoditas seperti XWorm dan AsyncRAT, atau menyebarkan ekstensi Chrome berbahaya yang mampu menyuntikkan JavaScript ke halaman situs perbankan Brasil untuk mencuri kredensial.
Mekanisme Serangan CVE-2025-8088
Celah keamanan CVE-2025-8088 merupakan kerentanan path traversal tingkat tinggi yang dieksploitasi dengan memanfaatkan fitur Alternate Data Streams (ADS) pada WinRAR. Penyerang dapat membuat arsip RAR berbahaya yang, ketika dibuka oleh versi WinRAR yang rentan, dapat menulis file ke lokasi arbitrer di sistem. Mekanisme ini sering kali melibatkan penyembunyian file berbahaya di dalam ADS dari file samaran (decoy file) di dalam arsip.
Meskipun pengguna biasanya melihat dokumen samaran (seperti PDF) di dalam arsip, terdapat entri ADS berbahaya yang mengandung muatan tersembunyi. Muatan ini ditulis dengan jalur yang dibuat khusus untuk melintasi direktori penting, sering kali menargetkan folder Startup Windows untuk persistensi. Kunci dari path traversal ini adalah penggunaan fitur ADS yang dikombinasikan dengan karakter traversal direktori.
Contohnya, sebuah file di dalam arsip RAR bisa memiliki nama gabungan seperti innocuous.pdf:malicious.lnk dengan jalur berbahaya: ../../../../../Users//AppData/Roaming/Microsoft/Windows/Start Menu/Programs/Startup/malicious.lnk. Ketika arsip dibuka, konten ADS (malicious.lnk) diekstraksi ke tujuan yang ditentukan oleh jalur traversal, secara otomatis mengeksekusi muatan saat pengguna masuk ke mesin setelah restart.
Pentingnya Pembaruan Segera
Google Threat Intelligence Group (GTIG) memperingatkan bahwa eksploitasi celah ini terus berlanjut bahkan setelah pembaruan keamanan dirilis pada Juli 2025, menjadikannya ancaman serius bagi jutaan pengguna WinRAR.
Google mendesak organisasi dan pengguna untuk segera memperbarui perangkat lunak mereka ke versi terbaru dan menginstal pembaruan keamanan sesegera mungkin. Setelah kerentanan ditambal, aktor jahat akan terus mengandalkan celah yang sudah diketahui (“n-days”) dan memanfaatkan lambatnya tingkat penambalan untuk keuntungan mereka.
Serangan yang memanfaatkan celah keamanan WinRAR ini menunjukkan betapa pentingnya menjaga semua perangkat lunak tetap mutakhir. Dengan jutaan pengguna di seluruh dunia, WinRAR tetap menjadi target menarik bagi para peretas, dan kelalaian dalam pembaruan dapat berakibat fatal pada keamanan data dan sistem.
