WinRAR-Lücke, CVE-2025-8088

WinRAR-Lücke CVE-2025-8088: Russische Hacker greifen Ukraine an

Veröffentlicht: 12.07.2026 um 08:25 Uhr, Redaktion boerse-global.de

Mehrere russische Gruppen nutzen die WinRAR-Schwachstelle CVE-2025-8088 für komplexe Angriffe auf ukrainische Einrichtungen.

WinRAR-Lücke: Russische Hacker greifen ukrainische Ziele an
Digitales Schloss mit leuchtendem Code, Symbol für Cybersicherheit, schützt ein Netzwerk mit dezentem Hintergrund der Ukraine-Karte. Illustration mit AI erstellt übermittelt durch boerse-global.de

Sicherheitsforscher schlagen Alarm: Gleich mehrere russische Hackergruppen nutzen eine kritische Sicherheitslücke im Archivierungsprogramm WinRAR, um ukrainische Einrichtungen anzugreifen. Besonders aktiv ist das berüchtigte Kollektiv Gamaredon, das mit einem mehrstufigen Infektionsprozess arbeitet.

Die Angriffskette von Gamaredon

Die als CVE-2025-8088 bekannte Schwachstelle erlaubt sogenannte Path-Traversal-Angriffe. Das bedeutet: Angreifer können durch manipulierte Archive beliebigen Code auf dem Zielsystem ausführen. Gamaredon nutzt dies für eine komplexe Infektionskette.

Der Einstieg erfolgt über eine als GammaPhish bezeichnete Methode, die auf HTML-Anwendungen setzt. Darauf folgt GammaLoad – ein Downloader, der weitere Schadsoftware nachlädt. Besonders perfide: Das VBScript-basierte GammaWorm verbreitet sich selbstständig im Netzwerk und tarnt sich mit NTFS-Alternativdatenströmen. Seine Steuerung läuft über Telegram.

Komplettiert wird die Angriffskette durch GammaSteel, einen Datendieb, der sensible Dateien entweder auf Amazon Web Services (S3-Buckets) oder eigene Kommando-Server hochlädt.

Mehrere Gruppen im Einsatz

Anzeige

Die WinRAR-Lücke CVE-2025-8088 wird aktiv von russischen Hackergruppen ausgenutzt – und das seit fast einem Jahr. Ohne zentrale Update-Funktion bleibt die Lücke in vielen Unternehmen offen. Dieser Report zeigt, wie Sie WinRAR-Updates durchsetzen, Kompromittierungsindikatoren erkennen und einen Notfallplan umsetzen. Jetzt kostenlosen Sicherheits-Report anfordern

Gamaredon ist nicht allein. Auch die Gruppen Earth Dahu und SHADOW-EARTH-066 wurden beim Ausnutzen der WinRAR-Lücke beobachtet. Sie setzen auf den Datendieb GIFTEDCROOK, der speziell Passwörter, Cookies und Dokumente aus Chromium- und Firefox-Browsern abgreift.

Auffällig: Die Angreifer entfernen sich zunehmend von öffentlichen Plattformen wie Telegram. Stattdessen nutzen sie eigene Kommando-Server, um entwendete Daten zu verwalten und infizierte Systeme zu steuern. Der Grund liegt auf der Hand: Eigene Infrastruktur ist für Sicherheitslösungen schwerer zu erkennen.

Patch allein reicht nicht

Anzeige

Russische APTs nutzen WinRAR-Path-Traversal, um Schadsoftware in Autostart-Ordnern zu platzieren – mit Stealern, die Zugangsdaten aus Chrome, Edge und Firefox extrahieren. Erfahren Sie, wie Sie diese Angriffe erkennen und abwehren. Sicherheits-Report mit Erkennungsindikatoren jetzt sichern

Obwohl der Hersteller bereits im Juli 2025 einen Sicherheitspatch für CVE-2025-8088 veröffentlichte, bleibt die Bedrohung akut. Zu langsam sind die Update-Zyklen in vielen Organisationen, zu verbreitet sind veraltete Versionen. Branchenexperten warnen: Die anhaltenden Erfolge der Kampagnen offenbaren ein strukturelles Sicherheitsproblem.

Die russischen Gruppen verfeinern zudem ständig ihre Methoden. Der Trend weg von öffentlichen Plattformen hin zu spezialisierter Infrastruktur macht die Angriffe für automatisierte Sicherheitslösungen schwerer erkennbar. Für ukrainische Einrichtungen bedeutet das: höchste Wachsamkeit und sofortige Updates sind überlebenswichtig.

Disclaimer zu unseren Artikeln: Keine Anlageberatung, keine Kauf oder Verkaufsempfehlung. Angaben zu Kursen, Unternehmen und Märkten ohne Gewähr; Änderungen jederzeit möglich. Börsengeschäfte können zu hohen Verlusten führen. Unsere Beiträge werden ganz oder teilweise automatisiert mit Unterstützung von AI erstellt und geprüft.

de | wissenschaft | 69751102 |