Una vulnerabilidad crítica de día cero en el popular compresor de archivos WinRAR está siendo explotada activamente por dos grupos de cibercriminales rusos. Los ataques permiten la instalación de puertas traseras en las computadoras que abren archivos maliciosos adjuntos a mensajes de phishing, algunos de los cuales están personalizados.
La empresa de seguridad ESET informó el lunes que detectó por primera vez los ataques el 18 de julio, cuando su telemetría identificó un archivo en una ruta de directorio inusual. Para el 24 de julio, ESET determinó que el comportamiento estaba relacionado con la explotación de una vulnerabilidad desconocida en WinRAR, que tiene una base de usuarios de aproximadamente 500 millones. ESET notificó a los desarrolladores de WinRAR ese mismo día, y una solución fue lanzada seis días después.
Esfuerzo y recursos significativos
La vulnerabilidad parece haber abusado de los flujos de datos alternativos, una característica de Windows que permite diferentes formas de representar la misma ruta de archivo. El exploit utilizó esta característica para activar un error de recorrido de ruta previamente desconocido, lo que provocó que WinRAR plantara ejecutables maliciosos en rutas de archivos elegidas por los atacantes, como %TEMP% y %LOCALAPPDATA%, que Windows normalmente restringe debido a su capacidad para ejecutar código.
ESET ha determinado que los ataques provienen de RomCom, una designación de seguimiento para un grupo criminal motivado financieramente que opera desde Rusia. Este grupo, bien financiado, ha estado activo durante años en ataques que demuestran su capacidad para obtener exploits y ejecutar técnicas bastante sofisticadas. El día cero que el grupo utilizó ahora se rastrea como CVE-2025-8088.
“Al explotar una vulnerabilidad de día cero previamente desconocida en WinRAR, el grupo RomCom ha demostrado que está dispuesto a invertir un esfuerzo y recursos significativos en sus operaciones cibernéticas”, escribieron Anton Cherepanov, Peter Strýček y Damien Schaeffer de ESET. “Esta es al menos la tercera vez que RomCom utiliza una vulnerabilidad de día cero en el mundo real, lo que destaca su continuo enfoque en adquirir y utilizar exploits para ataques dirigidos.”
Curiosamente, RomCom no fue el único grupo que explotó la CVE-2025-8088. Según la firma de seguridad rusa Bi.ZONE, la misma vulnerabilidad estaba siendo explotada activamente por un grupo que rastrean como Paper Werewolf. También conocido como GOFFEE, el grupo también estaba explotando la CVE-2025-6218, una vulnerabilidad de alta gravedad de WinRAR que recibió una solución cinco semanas antes de que se corrigiera la CVE-2025-8088.
Bi.ZONE informó que Paper Werewolf entregó los exploits en julio y agosto a través de archivos adjuntos a correos electrónicos que suplantaban a empleados del Instituto de Investigación de Rusia. El objetivo final era instalar malware que diera acceso a sistemas infectados.
Aunque los descubrimientos de ESET y BI.ZONE fueron independientes, se desconoce si los grupos que explotan las vulnerabilidades están conectados o adquirieron el conocimiento de la misma fuente. BI.ZONE especuló que Paper Werewolf pudo haber conseguido las vulnerabilidades en un foro de crimen en el mercado oscuro.
ESET indicó que los ataques que observaron siguieron tres cadenas de ejecución. Una cadena, utilizada en ataques dirigidos a una organización específica, ejecutó un archivo DLL malicioso oculto en un archivo mediante un método conocido como secuestrador COM que provocó su ejecución por ciertas aplicaciones como Microsoft Edge.
El archivo DLL en el archivo descifró un shellcode incrustado, que luego recuperó el nombre de dominio de la máquina actual y lo comparó con un valor codificado. Cuando ambos coincidieron, el shellcode instaló una instancia personalizada del Mythic Agent, un marco de explotación.
Una segunda cadena ejecutó un ejecutable de Windows malicioso para entregar un payload final que instalaba SnipBot, un conocido malware de RomCom. Este bloqueaba algunos intentos de análisis forense al terminarse cuando se abría en una máquina virtual vacía o en un sandbox, una práctica común entre los investigadores. Una tercera cadena utilizó dos piezas de malware conocidas de RomCom, una conocida como RustyClaw y la otra Melting Claw.
Las vulnerabilidades de WinRAR han sido explotadas anteriormente para instalar malware. Una vulnerabilidad de ejecución de código de 2019 fue ampliamente explotada poco después de ser parcheada. En 2023, un día cero de WinRAR fue explotado durante más de cuatro meses antes de que se detectaran los ataques.
Además de su enorme base de usuarios, WinRAR es un vehículo perfecto para la propagación de malware porque la utilidad no tiene un mecanismo automatizado para instalar nuevas actualizaciones. Esto significa que los usuarios deben descargar e instalar parches activamente por su cuenta. Además, ESET indicó que las versiones de Windows de las utilidades de línea de comandos UnRAR.dll y el código fuente portátil de UnRAR también son vulnerables. Se recomienda a las personas evitar todas las versiones de WinRAR anteriores a la 7.13, que, en el momento de la publicación de este artículo, era la más reciente y contenía correcciones para todas las vulnerabilidades conocidas, aunque dado el flujo aparentemente interminable de días cero de WinRAR, esto no es una gran garantía.
Fuente original: ver aquí
