圧縮・解凍ソフト WinRARの脆弱性を中国系ハッキング グループがサイバー攻撃へ悪用(CVE-2025-8088)

セキュリティニュース

投稿日時: 更新日時:

圧縮・解凍ソフトのWinRARの脆弱性を中国系ハッキング グループがサイバー攻撃へ悪用(CVE-2025-8088)

Check Point Research(CPR)は2026年2月4日、Amaranth-Dragonと呼ぶ脅威アクターが、2025年を通じて東南アジアの政府機関や法執行機関を狙う高度に標的化されたサイバー諜報キャンペーンを展開していたと公表しました。CPRは、同グループのツールセットや開発痕跡にAPT-41との重なりがあり、関連やリソース共有の可能性があると指摘しています。

なお、対策は引継ぎWinRARを最新版にアップデートする事です(自動更新機能が無い点も注意)

概要

本件のサイバー攻撃はWinRARの脆弱性CVE-2025-8088が公表されてから短期間で攻撃に組み込まれていました。

CVE-2025-8088はWindows版WinRARに影響するパストラバーサル脆弱性で、細工したRARアーカイブにより任意の場所へファイルを書き込ませ、結果として任意コード実行につなげられる可能性があります。


Check Point Research(CPR)は、脆弱性公開から10日未満で悪性RARが投入され、WindowsのStartupフォルダにスクリプト(CMD/BAT等)をドロップして再起動後に実行させることで、コード実行と永続化まで到達していたと説明しています。

CPRが観測したAmaranth-Dragonと呼ばれる脅威アクターの活動は、カンボジア、タイ、ラオス、インドネシア、シンガポール、フィリピンなど複数国に及びます。キャンペーンごとに1〜2カ国へ標的を絞り、政府機関や警察などを中心に狙っていました。

このグループは誘導文書やファイル名が現地の政治・地政学イベントと一致する傾向があり、受信者が開封しやすい題材に寄せることで侵入成功率を上げていたと指摘されています。

既にGoogle Threat Intelligence Groupでも修正後の継続悪用が確認されている

この脆弱性は、特定のキャンペーンに限った一過性の話ではありません。Google Threat Intelligence Group(GTIG)は、CVE-2025-8088が2025年7月に修正された既知脆弱性であるにもかかわらず、2026年に入っても国家支援型(ロシア・中国に関連する攻撃者)から金銭目的の攻撃者まで、幅広い脅威アクターに継続悪用されていると報告しています。


GTIGの整理では、Alternate Data Streams(ADS)を組み合わせてデコイ文書を見せつつ、裏で隠しペイロードをStartupフォルダに配置して永続化する手口が中核にあり、修正済みでも更新が遅れる環境が狙われ続ける典型例だとしています。

攻撃チェーン

Amaranth-Dragonは侵入後、Amaranth Loaderと呼ばれるカスタムローダーを利用します。

正規実行ファイルを利用したDLLサイドローディングで起動し、外部から取得したAES鍵で暗号化ペイロードを復号し、メモリ上で実行する流れが示されて展開されるペイロードは主にHavoc C2 Frameworkでした。


また、Dropboxなどの正規ホスティングサービスが配布に悪用され、鍵の配布先もPastebinから攻撃者インフラへ移行するなど、遮断や検知をすり抜ける運用上の工夫が確認されています。

C2インフラはCloudflare配下で保護されるだけでなく、標的国のIPレンジからのアクセスにのみ応答する地理制限が運用されていました。対象外からアクセスするとHTTP 403を返してペイロード配布を止める設計で、偶発的な感染や第三者による取得を減らし、作戦の秘匿性を高めています。

さらにCPRは、新たなツールとしてTGAmaranth RATも追跡しています。Telegram botをC2として利用し、遠隔コマンド実行やファイル操作などを行うRATで、anti-debugに加え、EDR/AVのフック回避を狙う挙動(プロセス内ntdll.dllのクリーンコピーによる解除)も説明されています。

WinRAR 脆弱性の対象バージョン

WinRAR 7.13未満が影響を受けます(Windows版)。GTIGも「2.3.0より前が影響」といった表現ではなく、WinRAR側の修正リリース(7.13)を基準に整理しています。

WinRAR 脆弱性の対策バージョン

WinRAR 7.13 で修正されています。GTIGによれば悪用は遅くとも 2025年7月18日 には観測されており、RARLABは 2025年7月30日 に WinRAR 7.13 を公開して対処したと説明されています。

APT-41の概要

APT-41は、中国系の脅威アクターとして各国の捜査機関・研究機関から長年追跡されてきたグループで、国家の利益に沿った諜報活動と、金銭目的のサイバー犯罪の両面が指摘されてきた存在です。

米司法省は2020年、APT-41関係者を含む複数名をコンピュータ侵入などで起訴したと発表しています。
今回CPRは、Amaranth-DragonをAPT-41エコシステムに近い存在と位置付け、運用タイムゾーンがUTC+8(中国標準時)である可能性にも言及しています。

情シスが押さえるべき防御ポイント

まず、Windows端末にWinRARが残っている組織は、バージョン棚卸しと更新の徹底が最優先です。GTIGおよび国内解説でも、対策はWinRAR 7.13への更新が基準として整理されています(自動更新されない点にも注意が必要です)。

次に、メール添付やチャット経由で届くRAR/ZIPを前提に、ゲートウェイでのアーカイブ制御、サンドボックスやCDRの適用、パスワード付きアーカイブの扱い、拡張子偽装(lnk等)を含む多層検査を運用手順まで落とし込むことです。

監視の観点では、WinRAR展開の直後にStartupフォルダ配下へ.lnk/.bat/.cmdが生成される、Runキーが追加される、正規実行ファイル起点で不審DLLが読み込まれる、といった端末内イベントを優先して検知・調査対象にします。

一部参照

Amaranth-Dragon: Weaponizing CVE-2025-8088 for Targeted Espionage in the Southeast Asia