Google reveló el martes que múltiples actores de amenazas, incluidos adversarios patrocinados por estados nacionales y grupos con motivaciones financieras, están explotando una falla de seguridad crítica ya parcheada en RARLAB WinRAR para establecer acceso inicial y desplegar una diversa gama de cargas maliciosas.
Descubierta y parcheada en julio de 2025, los actores de amenazas respaldados por gobiernos vinculados a Rusia y China, así como actores de amenazas con motivaciones financieras, continúan explotando este n-day en operaciones dispares. El método de explotación consistente, una falla de path traversal que permite dejar archivos en la carpeta de Inicio de Windows para persistencia, subraya una brecha defensiva en la seguridad fundamental de las aplicaciones y la conciencia del usuario.
La vulnerabilidad en cuestión es CVE-2025-8088 (puntuación CVSS: 8.8), parcheada por WinRAR versión 7.13 lanzada el 30 de julio de 2025. La explotación exitosa de la falla podría permitir a un atacante obtener ejecución de código arbitrario mediante la creación de archivos de archivo maliciosos que se abren con una versión vulnerable del programa.
ESET, que descubrió y reportó el defecto de seguridad, dijo que observó al grupo de amenazas con motivación financiera y de espionaje conocido como RomCom (también CIGAR o UNC4895) explotando la falla como un día cero desde el 18 de julio de 2025, para entregar una variante del malware SnipBot (también NESTPACKER). Cabe señalar que Google rastrea el grupo de amenazas detrás del despliegue de Cuba Ransomware, que también usa RomCom RAT, bajo el nombre UNC2596. Informes indican posibles conexiones entre los operadores de UNC2596, UNC4895 y un mercado de extorsión de datos llamado Industrial Spy.
Desde entonces, la vulnerabilidad ha sido explotada ampliamente, con cadenas de ataque que típicamente ocultan el archivo malicioso, como un acceso directo de Windows (LNK), dentro de las secuencias de datos alternativas (ADS) de un archivo señuelo dentro del archivo, causando que la carga útil se extraiga a una ruta específica (por ejemplo, la carpeta de Inicio de Windows) y se ejecute automáticamente cuando el usuario inicie sesión después de un reinicio.
Actores de amenazas rusos que explotan la vulnerabilidad
- Sandworm (también APT44 y FROZENBARENTS), que ha aprovechado la falla para dejar un archivo señuelo con un nombre de archivo ucraniano y un archivo LNK malicioso que intenta descargas adicionales.
- Gamaredon (también CARPATHIAN), que ha aprovechado la falla para atacar agencias gubernamentales ucranianas con archivos RAR maliciosos que contienen archivos HTML Application (HTA) que actúan como descargador para una segunda etapa.
- Turla (también SUMMIT), que ha aprovechado la falla para entregar el paquete de malware STOCKSTAY utilizando señuelos centrados en actividades militares ucranianas y operaciones de drones.
GTIG dijo que también identificó a un actor basado en China que utilizó CVE-2025-8088 para entregar Poison Ivy a través de un script por lotes dejado en la carpeta de Inicio de Windows que luego se configura para descargar un descargador.
Los actores de amenazas con motivaciones financieras también adoptaron rápidamente la vulnerabilidad para desplegar RATs comerciales y ladrones de información contra objetivos comerciales. Algunos de estos ataques han llevado al despliegue de backdoors controlados por bots de Telegram y familias de malware como AsyncRAT y XWorm.
En otro caso destacado por el equipo de inteligencia de amenazas de Google, se dice que un grupo de ciberdelincuencia conocido por atacar a usuarios brasileños a través de sitios web bancarios entregó una extensión maliciosa de Chrome capaz de inyectar JavaScript en las páginas de dos sitios bancarios brasileños para servir contenido de phishing y robar credenciales.
La explotación generalizada de la falla se evalúa como resultado de una próspera economía subterránea, donde los exploits de WinRAR se han anunciado por miles de dólares. Uno de esos proveedores, "zeroplayer", comercializó un exploit de WinRAR aproximadamente al mismo tiempo en las semanas previas a la divulgación pública de CVE-2025-8088.
La actividad continua de Zeroplayer como proveedor upstream de exploits destaca la commoditización continua del ciclo de vida de los ataques. Al proporcionar capacidades listas para usar, actores como Zeroplayer reducen la complejidad técnica y las demandas de recursos para los actores de amenazas, permitiendo que grupos con diversas motivaciones aprovechen un conjunto diverso de capacidades.
El desarrollo ocurre mientras otra vulnerabilidad de WinRAR (CVE-2025-6218, puntuación CVSS: 7.8) también ha sido objeto de esfuerzos de explotación por parte de múltiples actores de amenazas, incluidos GOFFEE, Bitter y Gamaredon, lo que subraya la amenaza que representan las vulnerabilidades n-day.
