(https://www.bleepstatic.com/content/hl-images/2023/10/18/winrar-malicious.png)
Investigadores han publicado un informe que detalla cómo una vulnerabilidad reciente de cruce de rutas en WinRAR, identificada como CVE-2025-8088, fue explotada en ataques de día cero por el grupo ruso de hackers "RomCom" para distribuir diferentes cargas útiles de malware.
RomCom (también conocido como Storm-0978 y Tropical Scorpius) es un grupo ruso de ciberespionaje con un historial de explotación de día cero, incluyendo Firefox (CVE-2024-9680, CVE-2024-49039) y Microsoft Office (CVE-2023-36884).
ESET descubrió que RomCom estaba explotando una vulnerabilidad de día cero de cruce de rutas no documentada en WinRAR el 18 de julio de 2025 y notificó al equipo responsable de la popular herramienta de archivado.
El análisis del exploit condujo al descubrimiento de la vulnerabilidad, ahora asignada como CVE-2025-8088: una vulnerabilidad de cruce de rutas, posible gracias al uso de flujos de datos alternativos. Tras una notificación inmediata, WinRAR lanzó una versión parcheada el 30 de julio de 2025, explica un nuevo informe publicado hoy por ESET.
WinRAR publicó una corrección para la falla, a la que se le asignó el identificador CVE-2025-8088, el 30 de julio de 2025, con la versión 7.13. Sin embargo, el aviso adjunto no mencionaba ninguna explotación activa.
ESET confirmó la actividad maliciosa a finales de la semana pasada, que se creía que se utilizaba para extraer ejecutables peligrosos a rutas de ejecución automática cuando un usuario abre un archivo comprimido especialmente diseñado.
La vulnerabilidad era similar a otra falla de cruce de rutas en WinRAR, descubierta un mes antes, identificada como CVE-2025-6218.
El informe de ESET explica que los archivos RAR maliciosos incluyen numerosas cargas útiles ADS (Alternate Data Stream) ocultas que se utilizan para ocultar una DLL maliciosa y un acceso directo de Windows. Estas cargas se extraen a carpetas especificadas por el atacante al abrir el archivo.
Muchas de las entradas ADS corresponden a rutas no válidas, que ESET cree que se añadieron deliberadamente para generar advertencias de WinRAR aparentemente inofensivas, ocultando al mismo tiempo la presencia de las rutas de archivos DLL, EXE y LNK maliciosos en la lista de archivos.
Archivo RAR malicioso (arriba) y errores durante la descompresión (abajo)
(https://www.bleepstatic.com/images/news/u/1220909/2025/August/rar.jpg)
Los ejecutables se almacenan en los directorios %TEMP% o %LOCALAPPDATA%, mientras que los accesos directos de Windows (archivos LNK) se colocan en el directorio de inicio de Windows para que se ejecuten al iniciar sesión.
ESET documentó tres cadenas de ataque distintas, todas con familias de malware RomCom conocidas:
Mythic Agent – Updater.lnk agrega msedge.dll a una ubicación de registro de secuestro COM, lo que descifra el shellcode AES y se ejecuta solo si el dominio del sistema coincide con un valor codificado. El shellcode inicia el agente Mythic, lo que permite la comunicación C2, la ejecución de comandos y la entrega de la carga útil.
SnipBot – Display Settings.lnk ejecuta ApbxHelper.exe, un CAC de PuTTY modificado con un certificado no válido. Comprueba si hay al menos 69 documentos abiertos recientemente antes de descifrar el shellcode que descarga cargas útiles adicionales de los servidores del atacante.
MeltingClaw – Settings.lnk lanza Complaint.exe (RustyClaw), que descarga una DLL de MeltingClaw que obtiene y ejecuta más módulos maliciosos de la infraestructura del atacante.
La cadena de infección del Mythic Agent
(https://www.bleepstatic.com/images/news/u/1220909/2025/August/mythic.jpg)
La firma rusa de ciberseguridad Bi.Zone también informa haber observado un clúster de actividad independiente, al que rastrean como "Paper Werewolf", que también aprovecha CVE-2025-8088 y CVE-2025-6218 en sus ataques.
ESET compartió los indicadores completos de vulnerabilidad de los últimos ataques RomCom en su repositorio de GitHub.
https://github.com/eset/malware-ioc/tree/master/romcom
Aunque Microsoft añadió compatibilidad nativa con RAR a Windows en 2023, esta función solo está disponible para las versiones más recientes y sus capacidades no son tan amplias como las integradas en WinRAR.
Por lo tanto, muchos usuarios avanzados y organizaciones siguen confiando en WinRAR para la gestión de archivos, lo que lo convierte en un objetivo prioritario para los hackers.
RarLab declaró que desconoce los detalles de la explotación de CVE-2025-8088, no ha recibido ningún informe de usuario y ESET solo compartió con ellos la información técnica necesaria para desarrollar un parche.
WinRAR no contiene una función de actualización automática, por lo que los usuarios deben descargar e instalar manualmente la última versión:
https://www.win-rar.com/predownload.html?&L=0
Fuente:
BleepingComputer
https://www.bleepingcomputer.com/news/security/details-emerge-on-winrar-zero-day-attacks-that-infected-pcs-with-malware/