รายงานล่าสุดจาก Google Threat Intelligence Group (GTIG) ที่เผยแพร่วันที่ 27 มกราคม 2026 ระบุว่า ช่องโหว่ WinRAR รหัส CVE-2025-8088 ยังถูกนำไปใช้โจมตีอย่างต่อเนื่อง “ถึงปัจจุบัน” ทั้งโดยกลุ่มสายจารกรรมที่หนุนหลังโดยรัฐ และกลุ่มอาชญากรไซเบอร์ที่เน้นหาเงินจากเหยื่อจำนวนมาก จุดที่น่ากังวลคือ แม้ช่องโหว่นี้ถูกแพตช์ไปแล้วตั้งแต่กลางปี 2025 แต่การอัปเดตที่ล่าช้า ทำให้ระบบที่ยังไม่แพตช์ กลายเป็นเป้าหมายที่ถูกเจาะได้ง่าย
CVE-2025-8088 คืออะไร และอันตรายแค่ไหน
CVE-2025-8088 เป็นช่องโหว่ประเภท path traversal (บางรายเรียก directory traversal) ที่กระทบ WinRAR เวอร์ชันบน Windows และคอมโพเนนต์ที่เกี่ยวข้อง โดยผู้โจมตีสามารถสร้างไฟล์ archive ที่ถูกออกแบบมาเป็นพิเศษ เพื่อ “แตกไฟล์ออกไปยังตำแหน่งอื่น” ที่ผู้ใช้ไม่ได้ตั้งใจ เช่น โฟลเดอร์ Startup ของ Windows ซึ่งเป็นจุดยอดนิยมสำหรับทำ persistence (ทำให้มัลแวร์ทำงานซ้ำเมื่อผู้ใช้ล็อกอินหรือรีสตาร์ตเครื่อง)
ในมุมความรุนแรง ฐานข้อมูลช่องโหว่สากลให้คะแนนระดับสูง (High) ซึ่งสะท้อนว่า หากผู้ใช้เผลอเปิดไฟล์ที่ถูกฝัง payload มา ก็อาจนำไปสู่การติดมัลแวร์หรือการถูกยึดเครื่องต่อได้
กลไกการโจมตี: ทำไม “แค่เปิดไฟล์บีบอัด” ถึงโดนได้
หัวใจของช่องโหว่นี้อยู่ที่การใช้ Alternate Data Streams (ADS) ซึ่งเป็นความสามารถของระบบไฟล์ NTFS บน Windows ที่อนุญาตให้ “ไฟล์หนึ่งไฟล์มีข้อมูลซ่อนอยู่ได้มากกว่าหนึ่งสตรีม” พูดง่าย ๆ คือ ผู้โจมตีสามารถทำให้ไฟล์ใน archive ดูเหมือนเป็นเอกสารปกติ (เช่น PDF) แต่แอบซ่อนข้อมูลอีกชุดหนึ่งไว้ข้างใน
รูปแบบโจมตีที่ GTIG อธิบายไว้ มักเป็นลักษณะนี้
- ในไฟล์ archive จะมี “ไฟล์ล่อ” ให้ผู้ใช้เปิดอ่าน เช่น เอกสาร PDF ที่ดูเหมือนเกี่ยวกับงาน หรือข้อมูลจริงจัง
- แต่ใน archive เดียวกัน จะมี ADS ที่ซ่อน payload ไว้ (บางอันเป็น payload จริง บางอันเป็นข้อมูลหลอกเพื่อทำให้วิเคราะห์ยากขึ้น)
- เมื่อผู้ใช้เปิด archive ด้วย WinRAR เวอร์ชันที่ยังมีช่องโหว่ ระบบจะแตก payload ออกไปยังพาธที่ถูกบิดให้ “ไต่ไดเรกทอรี” ไปยังตำแหน่งสำคัญได้
- ปลายทางยอดฮิตคือ Windows Startup folder เพื่อให้ไฟล์อย่าง LNK, HTA, BAT, CMD หรือสคริปต์อื่น ๆ ถูกเรียกทำงานตอนผู้ใช้ล็อกอิน
ประเด็นสำคัญคือ เหยื่อจำนวนมาก “คิดว่าตัวเองแค่เปิดไฟล์เอกสาร” แต่จริง ๆ แล้วมีไฟล์อีกชุดถูกวางไว้ในจุดที่พร้อมรันอัตโนมัติ
ใครใช้ช่องโหว่นี้โจมตีอยู่บ้าง (ทั้งสายรัฐ และสายหาเงิน)
GTIG ระบุว่า การโจมตีด้วย CVE-2025-8088 เริ่มถูกพบได้ตั้งแต่ 18 กรกฎาคม 2025 และยังมีสัญญาณการใช้ต่อเนื่องมาถึง มกราคม 2026 โดยภาพรวมแบ่งได้เป็น 2 กลุ่มใหญ่
1) กลุ่มสายรัฐ / สายจารกรรม (เน้นเป้าหมายเฉพาะ)
รายงานชี้ว่า มีหลายกลุ่มที่เชื่อมโยงกับรัสเซีย ใช้ช่องโหว่นี้ในแคมเปญที่เกี่ยวข้องกับยูเครน เช่น
- ใช้ spearphishing ส่งไฟล์หลอกให้หน่วยงานทหาร หรือหน่วยงานรัฐ
- ใช้ไฟล์ล่อเป็นภาษายูเครน และปล่อยไฟล์ LNK/HTA เพื่อดึง stage ถัดไป
- บางแคมเปญถูกระบุว่าต่อเนื่องเข้ามาถึงช่วง มกราคม 2026
นอกจากนี้ ยังพบกลุ่มที่เชื่อมโยงกับจีน ใช้เทคนิคนี้เพื่อปล่อยมัลแวร์ (เช่น POISONIVY) ผ่าน BAT ที่ถูกวางลง Startup เพื่อให้ไปดาวน์โหลดตัวโหลด (dropper) หรือ payload เพิ่มเติม
2) กลุ่มอาชญากรไซเบอร์สายหาเงิน (เน้นเหยื่อจำนวนมาก)
ในฝั่ง “หาเงิน” GTIG พบการใช้ช่องโหว่นี้เพื่อปล่อยของที่เจอบ่อยในตลาดมัลแวร์ เช่น
- commodity RATs และ information stealers (ตัวอย่างเช่น XWorm, AsyncRAT)
- backdoor ที่คุมผ่าน Telegram bot
- ส่วนขยาย Chrome ปลอม หรือส่วนขยายอันตรายเพื่อขโมยข้อมูล/แทรกเนื้อหาฟิชชิง (ในรายงานยกเคสโจมตีผู้ใช้บางประเทศโดยพุ่งเป้าเว็บธนาคาร)
ทำไมแพตช์ออกแล้ว แต่ยังโดนกันเยอะ
จุดที่ทำให้เรื่องนี้ยัง “ไม่จบ” แม้แพตช์ออกแล้ว คือพฤติกรรมที่เกิดซ้ำในโลกจริง
- ผู้ใช้จำนวนมากไม่ได้อัปเดต WinRAR บ่อย และหลายเครื่องยังค้างอยู่เวอร์ชันเก่า
- ผู้โจมตีชอบ “n-day” (ช่องโหว่ที่ถูกแพตช์แล้ว) เพราะยังมีเครื่องที่ไม่แพตช์ให้ล่าได้จำนวนมาก
- เครื่องในองค์กรบางแห่งอัปเดตช้า เพราะติดขั้นตอนทดสอบซอฟต์แวร์ หรือมี dependency ที่ผูกกับ UnRAR.dll / เครื่องมือแตกไฟล์อื่น ๆ
วิธีป้องกันสำหรับผู้ใช้ทั่วไป (ทำตามได้ทันที)
ถ้าต้องเลือกทำแบบ “คุ้มที่สุด” ให้เริ่มจาก 5 ข้อนี้
- อัปเดต WinRAR เป็น 7.13 หรือใหม่กว่า (บน Windows)
- เลี่ยงการเปิดไฟล์ .rar / archive จากแหล่งที่ไม่ชัดเจน โดยเฉพาะไฟล์ที่มากับอีเมลสมัครงาน ใบจองโรงแรม เอกสารการเงิน หรือไฟล์ที่เร่งให้เปิดด่วน
- ถ้าจำเป็นต้องเปิด ให้สแกนด้วยระบบความปลอดภัยก่อน และเปิดในสภาพแวดล้อมที่ปลอดภัยกว่า (เช่น เครื่องทดสอบ)
- ตรวจโฟลเดอร์ Startup แบบเร็ว ๆ เป็นระยะ โดยกด Win+R แล้วพิมพ์
shell:startupจากนั้นดูว่ามีไฟล์แปลก ๆ เช่น .lnk, .hta, .bat, .cmd โผล่มาแบบไม่รู้ที่มาหรือไม่ - ถ้าอยู่ในองค์กร ให้แจ้ง IT ทันทีเมื่อพบไฟล์ archive แปลก ๆ หรือเอกสารล่อที่มีรูปแบบเข้าข่ายฟิชชิง
แนวทางสำหรับองค์กร / IT และการเฝ้าระวังเบื้องต้น
สำหรับองค์กร แนะนำมองเป็น 3 ชั้น
- Patch management: ตรวจว่ามี WinRAR/UnRAR หรือโปรแกรมใดฝัง UnRAR.dll อยู่หรือไม่ และเร่งอัปเดตให้พ้นเวอร์ชันที่ได้รับผลกระทบ
- Email / Web protection: บล็อกไฟล์แนบที่เสี่ยง (เช่น .rar หรือไฟล์สคริปต์ที่มักถูกวางใน Startup) ตามนโยบายองค์กร และเพิ่มการสแกนไฟล์ archive
- Detection: เฝ้าระวังการสร้างไฟล์ใหม่ใน Startup folder และพฤติกรรมที่สัมพันธ์กับการดรอป .lnk/.hta/.cmd ตามที่รายงานระบุว่าพบเป็นแพตเทิร์นซ้ำ
“exploit สำเร็จรูป” สะท้อนตลาดโจมตีไซเบอร์อย่างไร
อีกมุมที่น่าสนใจจากรายงาน GTIG คือภาพของ “ซัพพลายเชนการโจมตี” ที่ไม่ได้มีแค่คนเขียนมัลแวร์กับคนยิงฟิชชิง แต่มีผู้ขาย exploit ให้พร้อมใช้ด้วย
GTIG ยกตัวอย่างผู้เล่นรายหนึ่งที่ใช้ชื่อว่า “zeroplayer” ซึ่งเคยโฆษณา exploit สำหรับ WinRAR ในช่วง กรกฎาคม 2025 และยังเสนอขาย exploit มูลค่าสูงหลายประเภทในช่วงปี 2025 โดยมีช่วงราคา 80,000–300,000 ดอลลาร์สหรัฐ
เพื่อให้เห็นภาพเป็นเงินบาทไทย (อ้างอิงอัตราแลกเปลี่ยนโดยประมาณ 1 ดอลลาร์ ≈ 30.9 บาท ณ วันที่ 28 มกราคม 2026) ช่วงราคานี้คิดเป็นเงินไทยราว ๆ 2.47–9.28 ล้านบาท
ซึ่งสะท้อนว่า “ตลาด exploit” กลายเป็นสินค้าที่ซื้อขายจริงจัง และยิ่งทำให้กลุ่มโจมตีที่ไม่จำเป็นต้องเก่งเชิงเทคนิคมาก ก็สามารถหาของพร้อมใช้ไปล่าระบบที่ยังไม่แพตช์ได้เร็วขึ้น
สรุป: ประเด็นที่ควรจำเกี่ยวกับ CVE-2025-8088
วิธีลดความเสี่ยงที่ได้ผลที่สุด คือ อัปเดต WinRAR บน Windows ให้เป็น 7.13+ และเพิ่มความระวังไฟล์ archive ที่มาจากอีเมล/แหล่งไม่รู้จัก
ช่องโหว่ CVE-2025-8088 ถูกใช้โจมตีจริงต่อเนื่องตั้งแต่ ก.ค. 2025 และยังพบการใช้ถึงช่วง ม.ค. 2026
เทคนิคหลักคือซ่อน payload ผ่าน ADS ใน archive และใช้ path traversal เพื่อดรอปไฟล์ไปยัง Startup folder
ผู้โจมตีมีตั้งแต่กลุ่มสายรัฐ ไปจนถึงอาชญากรไซเบอร์สายหาเงิน
ที่มา: bleepingcomputer
