Una vulnerabilidad de día cero de alta severidad en la utilidad de compresión de archivos Winrar ampliamente utilizada, identificada como CVE-2025-8088, ha sido explotada activamente por dos grupos de delitos cibernéticos rusos, lo que lleva al trasero de las computadoras que abrieron archivos maliciosos. Eset, una firma de seguridad, detectó por primera vez estos ataques el 18 de julio, cuando su telemetría marcó un archivo en una ruta de directorio inusual. Para el 24 de julio, ESET determinó que la actividad estaba vinculada a una vulnerabilidad desconocida en Winrar, que cuenta con una base instalada de aproximadamente 500 millones de usuarios. Eset notificó rápidamente a los desarrolladores de Winrar el mismo día, y una solución se lanzó seis días después.
La vulnerabilidad aprovechó los flujos de datos alternativos, una característica de Windows, para explotar un defecto transversal de ruta. Esto permitió plantar ejecutables maliciosos en rutas de archivo elegidas por el atacante, específicamente %TEMP %y %LocalAppData %, que Windows generalmente restringe debido a su capacidad para ejecutar código. ESET atribuyó estos ataques a Romcom, un grupo de delitos cibernético motivado financieramente que opera fuera de Rusia. Anton Cherepanov de Eset, Peter Strýček y Damien Schaeffer señalaron: “Al explotar una vulnerabilidad previamente desconocida en el día cero en Winrar, el grupo Romcom ha demostrado que está dispuesto a invertir esfuerzos y recursos serios en sus ciberroperaciones. Esta es al menos la tercera vez que RomCom ha utilizado una vulnerabilidad del día cero en el Wild, destacando su enfoque continuo en el enfoque continuo de la vida y el uso de las exploits para las exploits para los ataques objetivos.
Curiosamente, Romcom no era el único grupo que explotaba CVE-2025-8088. La firma de seguridad rusa Bi.Zone informó que la misma vulnerabilidad también estaba siendo explotada activamente por un grupo que rastrea como Werewolf de papel, también conocido como Goffee. Este grupo estaba explotando simultáneamente CVE-2025-6218, otra vulnerabilidad de WinRar de alta severidad que había sido reparada cinco semanas antes de la solución para CVE-2025-8088. Bi.Zone declaró que el hombre lobo de papel entregó hazañas en julio y agosto a través de archivos adjuntos a correos electrónicos que se hacen pasar por empleados del Instituto de Investigación All-Rusia, con el objetivo final de instalar malware para obtener acceso a sistemas infectados.
Si bien los descubrimientos de ESET y Bi.Zone eran independientes, no está claro si los grupos que explotan estas vulnerabilidades están conectados u obtienen el conocimiento de exploit de una fuente compartida. Bi.zone especuló que el hombre lobo de papel podría haber adquirido las vulnerabilidades a través de un foro de crimen de mercado oscuro. ESET observó tres cadenas de ejecución distintas en los ataques que monitoreó. Una cadena, dirigida a una organización específica, implicó ejecutar un archivo DLL malicioso oculto en un archivo a través del secuestro de COM. Este método hizo que la DLL fuera ejecutada por ciertas aplicaciones, como Microsoft Edge. La DLL descifraría el código de shell -Code incrustado, que luego recuperó el nombre de dominio de la máquina actual y lo comparó con un valor codificado. Si coincidían, el código de shell instaló una instancia personalizada del marco de explotación del agente mítico.
Una segunda cadena de ejecución implicó ejecutar un ejecutable malicioso de Windows para entregar Snipbot, una pieza conocida de malware romcom, como la carga útil final. Este malware incorporó técnicas anti-análisis, que terminan cuando se abren en una máquina virtual o caja de arena vacía, una práctica común entre los investigadores para evadir el análisis forense. La tercera cadena de ejecución utilizó otras dos variantes de malware RomCom conocidas: Rustyclaw y Claw de fusión.
Las vulnerabilidades de Winrar tienen un historial de ser explotados para la instalación de malware. Una vulnerabilidad de ejecución de código de 2019 vio una explotación generalizada poco después de ser reparada. Más recientemente, en 2023, se explotó un día cero de Winrar durante más de cuatro meses antes de que se detectaran los ataques. La gran base de usuarios de Winrar, combinada con su falta de un mecanismo de actualización automatizado, que requiere usuarios para descargar e instalar parches manualmente, lo convierte en un vehículo ideal para la propagación de malware. ESET también destacó que las versiones de Windows de la utilidad de la línea de comandos unrar.dll y el código fuente portátil de UNRAR también son vulnerables. Se recomienda a los usuarios que actualicen a Winrar versión 7.13 o posterior, lo que, en el momento de este informe, incluía correcciones para todas las vulnerabilidades conocidas. Sin embargo, dada la naturaleza recurrente de los días cero de Winrar, esto proporciona una garantía limitada contra las amenazas futuras.
