两个俄罗斯网络犯罪组织过去两周正通过含有恶意附件的钓鱼邮件利用一个高危 WinRAR 0day。WinRAR 是广泛使用的文件压缩工具，用户数多达 5 亿，安全公司 ESET 于 7 月 18 日首次检测到针对 WinRAR 的攻击，7 月 24 日确定利用了一个 WinRAR 0day，同一天通知 WinRAR 开发商，6 天后漏洞修复。该漏洞滥用了名为交换数据流（Alternate Data Streams，ADS）的 Windows 功能，该功能允许同一文件路径可以有不同的表示方式。漏洞利用滥用该功能触发了一个此前未知的路径遍历漏洞，导致 WinRAR 将恶意可执行文件植入攻击者选择的文件路径 %TEMP% 和 %LOCALAPPDATA%，因为能执行代码 Windows 通常禁止访问这些路径。利用该漏洞的俄罗斯黑客组织包括 RomCom 和 Paper Werewolf。

arstechnica.com/security/2025/08/high-severity-winrar-0-day-exploited-for-weeks-by-2-groups/
www.welivesecurity.com/en/eset-research/update-winrar-tools-now-romcom-and-others-exploiting-zero-day-vulnerability/