Bienvenido al blog de Undercode   Click to listen highlighted text! Bienvenido al blog de Undercode
Inicio Noticias Explotación masiva de WinRAR por APT y ciberdelincuentes
Noticias

Explotación masiva de WinRAR por APT y ciberdelincuentes

por Dragora
Escrito por Dragora

Google ha revelado que múltiples actores amenazantes, incluidos grupos respaldados por estados-nación y ciberdelincuentes con motivaciones financieras, están explotando activamente una vulnerabilidad crítica de seguridad en WinRAR, el popular software de compresión desarrollado por RARLAB. Aunque el fallo ya ha sido parcheado, continúa siendo utilizado como vector de acceso inicial en una amplia variedad de campañas maliciosas.

Según el Grupo de Inteligencia de Amenazas de Google (GTIG), la vulnerabilidad ha sido explotada desde al menos julio de 2025, incluso después de que se publicara la corrección oficial, lo que evidencia una brecha persistente en la aplicación de parches y en la concienciación de los usuarios.

CVE-2025-8088: una vulnerabilidad crítica con alto impacto

La falla en cuestión está registrada como CVE-2025-8088, con una puntuación CVSS de 8,8, y fue corregida en WinRAR versión 7.13, lanzada el 30 de julio de 2025. El defecto permite la ejecución arbitraria de código cuando un usuario abre un archivo RAR especialmente diseñado con una versión vulnerable del programa.

El método de explotación es especialmente eficaz porque aprovecha un fallo de recorrido de rutas (path traversal) que permite a los atacantes depositar archivos maliciosos directamente en la carpeta de inicio de Windows, logrando persistencia automática tras el reinicio del sistema.

GTIG subrayó que la consistencia del método de explotación demuestra una debilidad estructural tanto en la seguridad básica de las aplicaciones como en la higiene de seguridad del usuario final, que sigue confiando en archivos comprimidos como vectores aparentemente inofensivos.

Explotación como día cero y adopción masiva

La empresa de ciberseguridad ESET, que descubrió y reportó inicialmente la vulnerabilidad, indicó que el grupo RomCom —conocido también como CIGAR o UNC4895— ya estaba explotando CVE-2025-8088 como día cero el 18 de julio de 2025. En estas campañas, el fallo se utilizó para desplegar una variante del malware SnipBot (también llamado NESTPACKER).

Google señaló además que el clúster de amenazas responsable del despliegue de Cuba Ransomware está siendo rastreado internamente como UNC2596, lo que refuerza la conexión entre la explotación del fallo y operaciones de ransomware de alto impacto.

Desde entonces, la vulnerabilidad se ha comoditizado rápidamente, siendo adoptada por múltiples actores con tácticas y objetivos diversos.

Técnicas avanzadas de entrega de carga útil

Las cadenas de ataque observadas suelen emplear técnicas de ofuscación y evasión, ocultando la carga maliciosa —frecuentemente un acceso directo de Windows (LNK)— dentro de los flujos de datos alternativos (ADS) de un archivo señuelo incluido en el archivo RAR.

Cuando el archivo es extraído, la carga se coloca en una ruta específica del sistema, como la carpeta de inicio de Windows, y se ejecuta automáticamente cuando el usuario inicia sesión tras un reinicio. Este enfoque permite a los atacantes burlar controles de seguridad tradicionales y lograr persistencia sin levantar sospechas inmediatas.

Grupos APT rusos implicados en la explotación

Google confirmó que múltiples grupos APT vinculados a Rusia han incorporado CVE-2025-8088 a su arsenal ofensivo, entre ellos:

  • Sandworm (APT44 / FROZENBARENTS): utilizó archivos señuelo con nombres en ucraniano junto a LNK maliciosos diseñados para descargar cargas adicionales.

  • Gamaredon (CARPATHIAN): atacó agencias gubernamentales ucranianas mediante archivos RAR que contenían HTA maliciosos utilizados como descargadores de segunda etapa.

  • Turla (SUMMIT): explotó la vulnerabilidad para desplegar el malware STOCKSTAY, usando señuelos relacionados con actividades militares y operaciones con drones en Ucrania.

Estas campañas confirman el uso del fallo como parte de operaciones de espionaje y sabotaje cibernético.

Actores chinos y cibercrimen financiero

GTIG también identificó a un actor con base en China que emplea CVE-2025-8088 para entregar el troyano Poison Ivy, mediante un script por lotes colocado en la carpeta de inicio de Windows. Este script se encarga posteriormente de descargar un cuentagotas adicional, ampliando el compromiso inicial.

Por su parte, los actores motivados financieramente adoptaron rápidamente la vulnerabilidad para desplegar RATs de uso general y ladrones de información contra objetivos comerciales. Entre las familias de malware observadas se encuentran AsyncRAT y XWorm, así como puertas traseras controladas a través de bots de Telegram, una tendencia creciente en el malware moderno.

Economía clandestina y venta de exploits

Google atribuye la rápida propagación de la explotación a una economía subterránea altamente activa, en la que los exploits de WinRAR se comercializaban por miles de dólares. Un proveedor conocido como “zeroplayer” comenzó a promocionar un exploit funcional para WinRAR semanas antes de la divulgación pública de CVE-2025-8088.

“La actividad continua de zeroplayer como proveedor upstream de exploits pone de manifiesto la comoditización del ciclo de vida del ataque”, explicó GTIG. Al ofrecer herramientas listas para usar, estos intermediarios reducen la barrera técnica de entrada, permitiendo que actores con distintos niveles de sofisticación exploten vulnerabilidades críticas de forma inmediata.

Otras vulnerabilidades y riesgo persistente

Este panorama se agrava por la explotación paralela de otra falla en WinRAR, CVE-2025-6218 (CVSS: 7,8), que también ha sido utilizada por múltiples actores, incluidos GOFFEE, Bitter y Gamaredon. Este patrón subraya el riesgo continuo de las vulnerabilidades N-day, especialmente cuando afectan a software ampliamente instalado.

En fin…

La explotación masiva de CVE-2025-8088 demuestra cómo una sola vulnerabilidad en un software ampliamente utilizado puede convertirse en un vector estratégico para espionaje, ransomware y cibercrimen financiero. La combinación de exploits comercializados, técnicas de persistencia sigilosas y una adopción transversal por actores estatales y criminales refuerza la necesidad de aplicar parches con urgencia, restringir la ejecución automática y mejorar la concienciación de seguridad.

WinRAR, tradicionalmente percibido como una herramienta de bajo riesgo, se ha convertido en un eslabón crítico de la cadena de ataque, recordando que ninguna aplicación ampliamente distribuida está fuera del radar de los adversarios modernos.

Fuente: The Hacker News     

0 Comentar
0
FacebookTwitterPinterestLinkedinEmail

You may also like

Redis corrige fallo crítico RCE descubierto por IA

HTTP/2 Bomb amenaza NGINX, Apache e IIS

Cisco corrige fallo crítico CVSS 10 en Secure...

Europa y EE. UU. desmantelan VPN usada por...

Microsoft corregirá fallo de contraseñas en Edge

Microsoft confirma ataques contra Exchange Server

Malware detectado en versiones npm de node-ipc

Cisco corrige fallo crítico SD-WAN explotado activamente

Microsoft corrige error de Office en Windows 365

Google descubre exploit zero-day creado con IA

Dejar Comentario

Guardar mi nombre y email para el próximo comentario

Click to listen highlighted text!