¡Alerta WinRAR! Descubierta vulnerabilidad zero-day explotada por el grupo RomCom

Cristian Do Carmo Rodríguez -

¡Atención usuarios de WinRAR! Investigadores de ESET han descubierto una vulnerabilidad crítica, conocida como zero-day, que está siendo explotada activamente por el grupo RomCom, alineado con Rusia. Esta vulnerabilidad, identificada como CVE-2025-8088, permite a los atacantes ocultar archivos maliciosos dentro de los archivos comprimidos, que se despliegan silenciosamente al extraerlos. El objetivo: comprometer sistemas y robar información sensible.

Pero, ¿qué significa esto para ti y cómo puedes protegerte? Sigue leyendo para descubrir todos los detalles de esta amenaza y cómo mantener tu sistema a salvo.

¿Qué es CVE-2025-8088 y por qué es tan peligrosa?

CVE-2025-8088 es una vulnerabilidad de recorrido de rutas que se aprovecha de los flujos de datos alternativos (ADS) en WinRAR. Dejando a un lado los tecnicismos, esto significa que los atacantes pueden crear archivos RAR maliciosos que, al ser extraídos, depositan archivos peligrosos en ubicaciones inesperadas de tu sistema, como la carpeta de inicio. De esta manera, consiguen que el malware se ejecute automáticamente cada vez que inicias sesión en tu ordenador.

¿Cómo funciona el ataque?

Los atacantes envían correos electrónicos de spearphishing con archivos RAR adjuntos que simulan ser documentos legítimos, como currículums vitae. Al abrir el archivo, WinRAR extrae los archivos maliciosos sin que te des cuenta, aprovechándose de la vulnerabilidad. Estos archivos suelen ser DLLs o archivos LNK que inician la cadena de compromiso.

Para que te hagas una idea más clara, así es cómo se desarrolla el ataque:

  • Recibes un correo electrónico sospechoso con un archivo RAR adjunto.
  • Abres el archivo RAR, pensando que es un documento seguro.
  • Sin que lo notes, WinRAR extrae archivos maliciosos en segundo plano.
  • Estos archivos ejecutan código malicioso que compromete tu sistema.

¿Quién está detrás de esto?

El grupo RomCom, también conocido como Storm-0978, Tropical Scorpius o UNC2596, es un actor de amenazas alineado con Rusia. Son conocidos por realizar campañas de espionaje y ciberdelincuencia contra empresas de diversos sectores, como el financiero, manufacturero, de defensa y logística, principalmente en Europa y Canadá.

Este grupo ya ha sido pillado antes utilizando vulnerabilidades zero-day, lo que demuestra su capacidad y persistencia para encontrar nuevas formas de atacar a sus objetivos.

¿Qué puedo hacer para protegerme?

La solución es sencilla: actualiza WinRAR a la última versión lo antes posible. Los desarrolladores de WinRAR lanzaron rápidamente un parche para solucionar esta vulnerabilidad, así que no te demores en instalarlo. La versión 7.13 corrige este problema.

Además, ten en cuenta estas recomendaciones:

  • Sé cauteloso con los correos electrónicos que recibes, especialmente si contienen archivos adjuntos de remitentes desconocidos.
  • No abras archivos RAR sospechosos, incluso si parecen provenir de una fuente confiable.
  • Mantén tu software antivirus actualizado para detectar y bloquear posibles amenazas.

En resumen

La vulnerabilidad CVE-2025-8088 en WinRAR es una seria amenaza que puede comprometer tu sistema si no tomas las medidas necesarias. Actualiza WinRAR a la última versión y sigue las recomendaciones de seguridad para protegerte de posibles ataques. ¡No te confíes, la seguridad es cosa de todos!