Siber güvenlik dünyasındaki silahlanma yarışı her geçen gün daha karmaşık hale geliyor. Genellikle yazılım veya donanım açıklarını bulmak, özel olarak tasarlanmış karmaşık sistemler gerektirir. Ancak 2026 yılında bile, yakın zamanda ortaya çıkan ve bijna tüm antivirüs çözümlerini atlatabilen Zombi ZIP gibi basit bir güvenlik açığına rastlamak mümkün. Bu açık sayesinde kötü amaçlı yazılımlar, güvenlik yazılımlarının gözünden kaçabiliyor.
Temel mantığı oldukça basit. Bir ZIP dosyasının ilk bölümü olan başlık (header), dosya içeriği ve sıkıştırma yöntemi hakkında bilgi içerir. Eğer bir ZIP dosyasında, içeriğin sıkıştırılmamış olduğu belirtilirken aslında sıkıştırılmış veri bulunuyorsa, çoğu antivirüs programı bu durumu fark etmiyor. Bu durum, antivirüsler için şüpheli bir veri anlamına gelmiyor ve bilinen kötü amaçlı yazılım imzalarıyla eşleşmiyor.
Bu teknolojiyle, sıkıştırılmamış veri rastgele baytlar gibi görünüyor ve bu da onu bilinen kötü amaçlı yazılım imzalarından ayırıyor. Açığın kamuoyuna duyurulmasından sonra yapılan testlerde, yaygın olarak kullanılan 63 antivirüs programından 60'ı bu yöntemi tespit edemedi. Bu da yüzde 95'in üzerinde bir başarı oranı anlamına geliyor.
Bu tür arşiv dosyaları, aslında teknik olarak bozuk oldukları için 7-Zip veya WinRAR gibi yaygın araçlarla çıkarılamaz. Ancak bu arşivleri, anormalliği anlayabilen ve asıl kötü amaçlı yazılımı ortaya çıkarabilen küçük ve zararsız görünen bir programla birleştirmek oldukça kolaydır.
Bu güvenlik açığını keşfeden araştırmacılar, sadece birkaç satır kod gerektiren bir Python tabanlı konsept kanıtı (proof-of-concept) yayınladı. Bu durum, bireysel kullanıcılar için endişe verici olabileceği gibi, binlerce kullanıcısı ve hassas verileri bulunan şirketler için tam bir kabusa dönüşebilir.
Antivirüs çözümlerinin neden bu yükleme betiklerini hedef almadığı sorusu akla gelebilir. Bunun nedeni, özellikle oyunlar başta olmak üzere birçok yazılımda sıkıştırılmış verilerin yüklenmesinin çok yaygın bir işlem olması ve bu duruma odaklanıldığında çok sayıda yanlış pozitif alarmın tetiklenme olasılığının yüksek olmasıdır.
Ulusal Siber Olaylara Müdahale Merkezi (USOM) bu durumu fark etmiş ve VU#976247 numaralı bir danışma bülteni yayınlamıştır. Ayrıca, bu zafiyet için CVE-2026-0866 tanımlayıcısı da atanmıştır. Güvenlik yazılımları bu açığı kapatana kadar, sistem yöneticilerinin ağlarında dolaşan ZIP dosyalarına karşı özellikle dikkatli olmaları önerilir.
