Investigadores de ESET han descubierto una vulnerabilidad de día cero en la popular herramienta de compresión de archivos WinRAR, que el grupo de amenazas alineado con Rusia, conocido como RomCom, ha estado explotando activamente. Esta vulnerabilidad, identificada como CVE-2025-8088, es un fallo de tipo "path traversal" (recorrido de directorios) que utiliza flujos de datos alternativos (ADS) para ocultar y desplegar archivos maliciosos. El objetivo es que estos archivos se activen de forma silenciosa al extraer el contenido de un archivo comprimido, lo que permite a los atacantes instalar puertas traseras sin que el usuario se dé cuenta.
El fallo afecta a las versiones de WinRAR hasta la 7.12, así como a componentes relacionados como UnRAR.dll. ESET notificó a los desarrolladores de WinRAR el 24 de julio de 2025. Un parche para solucionar la vulnerabilidad fue lanzado ese mismo día en la versión beta 7.13, y la versión completa y estable se publicó el 30 de julio.
La técnica de explotación consiste en manipular la estructura de los archivos comprimidos para que contengan rutas de archivo que sobrescriben los destinos de extracción legítimos. Esto permite a los atacantes colocar archivos ejecutables en directorios de sistema sensibles, lo que podría llevar a una escalada de privilegios y mecanismos de persistencia en los sistemas comprometidos. Cuando una víctima extrae estos archivos con una versión vulnerable de WinRAR, el malware se ejecuta automáticamente sin necesidad de interacción adicional por parte del usuario.
RomCom, conocido también como Storm-0978 o Tropical Scorpius, es un grupo que combina el cibercrimen con el espionaje. Este grupo tiene un historial de explotar vulnerabilidades de día cero. Por ejemplo, en junio de 2023, explotaron una vulnerabilidad en documentos de Microsoft Word (CVE-2023-36884) para atacar a entidades relacionadas con Ucrania. En octubre de 2024, encadenaron fallos en Firefox y Windows (CVE-2024-9680 y CVE-2024-49039) para ejecutar código en navegadores como Thunderbird y Tor.
En la campaña de phishing más reciente, observada entre el 18 y el 21 de julio de 2025, RomCom se hizo pasar por solicitantes de empleo, enviando correos electrónicos a empresas de los sectores de finanzas, fabricación, defensa y logística en Europa y Canadá. Los correos incluían archivos RAR adjuntos disfrazados de currículums o solicitudes de empleo. Al extraer estos archivos especialmente diseñados, el código malicioso se activaba, permitiendo al malware manipular el proceso de extracción para colocar archivos en ubicaciones no deseadas del sistema.
Una vez desplegado, el malware establece comunicaciones de comando y control, lo que permite a los atacantes realizar reconocimiento, movimiento lateral y exfiltración de datos dentro de las redes comprometidas. Los investigadores de ESET señalan que este tipo de ataque es particularmente efectivo porque los archivos comprimidos se comparten con frecuencia en entornos empresariales, lo que dificulta su detección por las soluciones de seguridad tradicionales.
Para mitigar los riesgos, se recomienda encarecidamente a los usuarios y organizaciones que actualicen inmediatamente a WinRAR 7.13 o versiones posteriores. Esta versión soluciona el fallo de recorrido de directorios. Es importante destacar que las versiones de WinRAR para Unix, así como sus componentes relacionados, no se ven afectados por esta vulnerabilidad específica de Windows. Como medida adicional, se aconseja escanear los archivos comprimidos con soluciones de seguridad de endpoint actualizadas antes de la extracción y restringir los privilegios de manejo de archivos en entornos corporativos para minimizar la superficie de ataque.
Fuente:
https://cybersecuritynews.com/winrar-0-day-in-phishing-attacks/