Ciberseguridad - Insights, Ciberseguridad - Noticias

Nueva vulnerabilidad de día cero en WinRAR explotada por hackers de RomCom

Posted on by Karmina Clemente
11
Ago

Una vulnerabilidad recientemente descubierta en WinRAR ha sido explotada activamente por el grupo cibercriminal RomCom, alineado con Rusia.

Según un aviso publicado hoy por investigadores de ESET, la falla, identificada como CVE-2025-8088, permite a los atacantes ocultar archivos maliciosos dentro de un archivo comprimido que se ejecutan de forma silenciosa durante la extracción.

El 30 de julio de 2025 se lanzó un parche, y se insta a los usuarios a actualizar de inmediato.

Cómo funciona el ataque

La vulnerabilidad de traversal de ruta, habilitada mediante flujos de datos alternativos, afecta a varios componentes de WinRAR, incluidos sus utilitarios de línea de comandos para Windows, UnRAR.dll y el código fuente portátil de UnRAR.

Mediante la creación de archivos comprimidos que parecen inofensivos, los atacantes esconden DLL y archivos LNK maliciosos que se colocan en los directorios del sistema, permitiendo persistencia y ejecución de código.

Entre el 18 y el 21 de julio, RomCom utilizó campañas de spear-phishing para atacar a empresas de los sectores financiero, manufacturero, defensa y logística en Europa y Canadá. Los correos electrónicos contenían señuelos con supuestas solicitudes de empleo y archivos RAR adjuntos.

De acuerdo con ESET, no se observaron compromisos exitosos durante esta campaña.

Tres cadenas de ataque identificadas

Los investigadores de seguridad detectaron tres cadenas de ataque distintas:

  1. Mythic agent: Usó secuestro de COM para ejecutar una DLL maliciosa que descifraba y ejecutaba shellcode vinculado a un servidor de comando y control (C2).
  2. Variante SnipBot: Distribuida mediante un ejecutable modificado de PuTTY CAC, que solo se ejecutaba si el sistema mostraba signos de uso real, como un gran número de documentos abiertos recientemente.
  3. MeltingClaw (RustyClaw): Un downloader escrito en Rust que descargaba cargas adicionales desde servidores remotos.

Cada cadena utilizaba verificaciones de dominios codificados y técnicas anti-análisis para evadir la detección en entornos de prueba.

Un patrón de explotación de vulnerabilidades de día cero

RomCom, también conocido como Storm-0978, Tropical Scorpius o UNC2596, tiene un historial de explotación de vulnerabilidades desconocidas.

En junio de 2023, abusó de la vulnerabilidad CVE-2023-36884 en Microsoft Word, y en octubre de 2024 encadenó dos vulnerabilidades —incluyendo CVE-2024-9680 en Firefox— para instalar backdoors. El grupo combina ataques con fines financieros y actividades de espionaje dirigido.

ESET señaló que otro actor de amenazas no identificado comenzó a explotar la vulnerabilidad CVE-2025-8088 poco después de RomCom. La rapidez del equipo de WinRAR al publicar un parche —apenas un día después de recibir el aviso— fue clave para reducir la exposición.

Los expertos en ciberseguridad recomiendan actualizar de inmediato WinRAR y todos sus componentes relacionados para mitigar el riesgo que plantea esta falla.

Fuente: https://www.infosecurity-magazine.com/news/winrar-zero-day-exploited-romcom

Karmina Clemente