Trotz verfügbarem Patch nutzen russische Gruppen die Schwachstelle weiterhin aus.
Am heutigen Montag haben Sicherheitsforscher bestätigt, dass die mit Russland verbündeten Hackergruppen Gamaredon und SHADOW-EARTH-066 eine seit Juli 2025 bekannte Sicherheitslücke in WinRAR aktiv ausnutzen. Die Schwachstelle mit der Kennung CVE-2025-8088 und einem CVSS-Schweregrad von 8,4 ermöglicht Angreifern die Ausführung von Schadcode, sobald ein Nutzer eine präparierte Archivdatei öffnet.
Hacker nutzen gezielt psychologische Schwachstellen und technische Sicherheitslücken aus, um in Unternehmensnetzwerke einzudringen. Dieser kostenlose Report enthüllt die aktuellen Methoden der Cyberkriminellen und zeigt, wie Sie Angriffe frühzeitig entlarven. Diese 7 psychologischen Schwachstellen jetzt entdecken
Warum der Patch nicht ankommt
Das eigentliche Problem liegt in der Software selbst: WinRAR verfügt über keinen zentralen, automatischen Update-Mechanismus. „Das schafft einen blinden Fleck für IT-Abteilungen“, erklären Analysten von Trend Micro. Viele Installationen bleiben selbst Monate nach Veröffentlichung eines Sicherheitsupdates auf verwundbaren Versionen – ein Einfallstor, das die Angreifer gezielt nutzen.
Bis mindestens April 2026 haben die Gruppen erfolgreich ukrainische Regierungs-, Militär- und kritische Infrastruktureinrichtungen attackiert. Die Schadsoftware wird über speziell präparierte Archive eingeschleust und dient sowohl der Datenexfiltration als auch dem dauerhaften Zugriff auf kompromittierte Systeme.
Gamaredons mehrstufige Angriffskette
Die Hackergruppe Gamaredon, auch als Earth Dahu bekannt, setzt auf eine komplexe Infektionsstrategie. Der Angriff beginnt typischerweise mit „GammaPhish“-HTML-Dateien, die VBScript-basierte Lader ausführen. Diese wiederum installieren „GammaWorm“ – einen Wurm, der sich über Windows Scheduled Tasks im System verankert und seine Schadsoftware in alternativen Datenströmen (ADS) versteckt.
Besonders raffiniert: Ein weiteres Werkzeug namens „GammaSteel“ exfiltriert gestohlene Daten direkt in AWS-S3-Speicher. Zur Kommunikation mit den Steuerungsservern nutzen die Angreifer Telegram – ein Trick, der den verdächtigen Traffic kaum von legitimer Aktivität unterscheidbar macht.
Angesichts immer komplexerer Bedrohungen durch professionelle Hackergruppen müssen Unternehmen ihre IT-Sicherheit ohne Verzögerung stärken. Erfahren Sie im kostenlosen E-Book, wie Sie Sicherheitslücken schließen und Ihre Firma proaktiv vor kostspieligen Cyberangriffen schützen. Gratis-E-Book für proaktiven IT-Schutz sichern
Die Gruppe SHADOW-EARTH-066 (UAC-0226) verfolgt einen ähnlichen Ansatz. Sie setzt den Datendieb „GIFTEDCROOK“ ein, der über RAR-Archive mit versteckten Payloads in Windows-Datenströmen ausgeliefert wird. So umgehen die Angreifer herkömmliche dateibasierte Sicherheitserkennungen.
Auch 7-Zip im Visier
Die Bedrohungslage beschränkt sich nicht auf WinRAR. Bereits am vergangenen Samstag wurden Details zu einer kritischen Sicherheitslücke in 7-Zip bekannt. Der Pufferüberlauf mit der Kennung CVE-2026-48095 und einem CVSS-Wert von 8,8 betrifft Version 26.1 und älter. Der Fehler ermöglicht Codeausführung beim Parsen von NTFS-Images – allerdings benötigt der Exploit derzeit Systeme mit mindestens 16 Gigabyte Arbeitsspeicher.
SolarWinds-Server weiterhin verwundbar
Parallel dazu hat die US-amerikanische Cybersicherheitsbehörde CISA ihren Katalog bekannter ausgenutzter Schwachstellen aktualisiert. Neu aufgenommen wurde eine Sicherheitslücke in SolarWinds Serv-U (CVE-2026-28318). Der Denial-of-Service-Fehler erlaubt nicht authentifizierten Angreifern, Server durch präparierte POST-Anfragen zum Absturz zu bringen.
Obwohl SolarWinds bereits am 4. Juni einen Hotfix bereitstellte, waren vergangene Woche laut Shodan-Daten noch über 12.000 Serverinstanzen ungeschützt. CISA hat US-Bundesbehörden bis zum 19. Juni Zeit gegeben, die notwendigen Patches einzuspielen.
