Se ha descubierto una vulnerabilidad de día cero en la popular herramienta de compresión de archivos WinRAR, que está siendo explotada activamente por el grupo de amenazas alineado con Rusia, RomCom, a través de campañas de phishing. La falla, identificada como CVE-2025-8088, es una vulnerabilidad de recorrido de ruta que utiliza flujos de datos alternativos (ADS) para ocultar y desplegar archivos maliciosos durante la extracción, permitiendo a los atacantes instalar backdoors de forma sigilosa.
Detalles del ataque y sus efectos
La vulnerabilidad afecta a las versiones de WinRAR hasta la 7.12, así como a componentes relacionados como UnRAR.dll. ESET notificó a los desarrolladores de WinRAR el 24 de julio, lo que llevó a la publicación de un parche en la versión 7.13 beta 1 ese mismo día, con la versión final lanzada el 30 de julio.
El ataque permite a los ciberdelincuentes colocar archivos maliciosos en directorios sensibles del sistema, lo que podría darles control total sobre la máquina. Los atacantes crean archivos con estructuras de directorios manipuladas que explotan la falta de validación de la ruta del archivo de WinRAR. Al extraer el archivo, el malware se ejecuta automáticamente sin necesidad de interacción adicional, lo que lo hace particularmente peligroso.
Campaña de phishing de RomCom y mitigaciones
RomCom, también conocido como Storm-0978 o Tropical Scorpius, tiene un historial de combinar el ciberdelito con el espionaje. Anteriormente, explotaron vulnerabilidades en Microsoft Word y Firefox. En esta nueva campaña, observada entre el 18 y el 21 de julio, RomCom envió correos electrónicos de phishing a empresas en Europa y Canadá, haciéndose pasar por solicitudes de empleo. Los archivos adjuntos, disfrazados de archivos RAR inofensivos, contenían la carga maliciosa que se activaba al ser extraída.
Para protegerse, se insta a los usuarios a actualizar de inmediato a la versión 7.13 de WinRAR o superior, ya que el parche de seguridad corrige la falla. También es recomendable escanear los archivos comprimidos con soluciones de seguridad actualizadas antes de extraerlos y restringir los privilegios de manejo de archivos en entornos empresariales. Es importante destacar que las versiones de WinRAR para Unix, así como su código fuente portátil, no se ven afectadas por esta vulnerabilidad.
