Una campaña de phishing puso en jaque a empresas de los sectores financiero, manufacturero, defensa y logística en Europa y Canadá, utilizando una vulnerabilidad zero-day en WinRAR, uno de los programas de compresión de archivos más populares del mundo.
El hallazgo, realizado por el equipo de investigación de ESET, saca a la luz los riesgos asociados a herramientas de uso cotidiano y lo que hacen los grupos de ciberespionaje.
Cómo encontraron la vulnerabilidad en WinRAR
El 18 de julio de 2025, los analistas detectaron intentos de explotación de un fallo no documentado previamente en versiones antiguas de WinRAR y en módulos relacionados, como UnRAR.dll y su código fuente portable.
El problema, ahora identificado como CVE-2025-8088, es de tipo “path traversal” y puede ser explotado gracias al uso de alternate data streams (ADS). Esto permite a los atacantes colocar archivos maliciosos fuera de los directorios esperados por el sistema, sorteando con ello barreras de seguridad tradicionales.
Esta vulnerabilidad facilita que un archivo RAR, cuidadosamente manipulado y presentado de modo engañoso, oculte en su interior componentes que se expanden sin que el usuario lo advierta tras la extracción del archivo comprimido.
De este modo, el código malicioso logra escribir ficheros en ubicaciones delicadas y ejecutarlos, abriendo la puerta a la ejecución de comandos, instalación de backdoors y descarga de módulos adicionales.
De acuerdo con la investigación, el fallo afectaba incluso a la versión 7.12 de WinRAR, la edición más reciente hasta el momento del descubrimiento. Inmediatamente después de la notificación de ESET, el fabricante de WinRAR lanzó, el 30 de julio de 2025, una actualización correctiva.
Cómo funciona el ataque de phishing en WinRAR
El ataque fue atribuido al grupo conocido como RomCom y conocido tanto por actividades de cibercrimen como de espionaje. El grupo tiene antecedentes de explotar vulnerabilidades de alto impacto: en junio de 2023 aprovechó una brecha en Microsoft Word y, en octubre de 2024, dirigió sus acciones hacia fallos en Firefox, Thunderbird y el navegador Tor.
Para esta campaña, RomCom utilizó el email de spearphishing como vector de ataque. Los mensajes simulaban solicitudes laborales adjuntando un archivo comprimido, ostensiblemente inocuo y relacionado con una postulación de empleo. El aparente currículum servía de señuelo para inducir a usuarios desprevenidos a descomprimir el archivo.
Una vez abierta la carpeta RAR, WinRAR procedía a extraer el supuesto CV, junto con componentes maliciosos escondidos en alternate data streams. Entre ellos, una DLL llamada msedge.dll se depositaba en la carpeta temporal de Windows, mientras que otro archivo, de formato LNK, se alojaba en el directorio de inicio. Esto garantizaba la ejecución del malware cada vez que el sistema arrancaba, logrando persistencia en el equipo comprometido.
En caso de éxito, el exploit facilitaba la instalación de backdoors como SnipBot (variante), RustyClaw y el agente Mythic, con el propósito de mantener acceso, recolectar información o realizar posteriores incursiones en las redes afectadas.
Cómo evitar caer en este ataque
Ante la gravedad del hallazgo, ESET emitió una recomendación clara: los usuarios de WinRAR y de utilidades asociadas deben instalar la última versión disponible del software para bloquear posibles intentos de explotación.
Aquellos responsables de entornos tecnológicos empresariales están llamados a reforzar los protocolos de filtrado de correo electrónico, implementar políticas de segmentación de red y monitorizar posibles indicadores relacionados con los backdoors empleados en la campaña.
La vulnerabilidad afectaba no solo al programa WinRAR, sino también a utilidades derivadas y componentes de terceros basados en UnRAR.dll o su código fuente, especialmente cuando estos no reciben actualizaciones regulares. Por lo tanto, resulta esencial revisar y mantener al día todas las herramientas que dependan, directa o indirectamente, de la funcionalidad de descompresión de archivos RAR.
Las principales recomendaciones pasan por:
- Instalar siempre la versión más reciente de WinRAR y componentes relacionados.
- Fortalecer el filtrado de correos para detectar y bloquear intentos de spearphishing.
- Implementar segmentación de red que limite el movimiento lateral en caso de intrusión.
- Buscar y neutralizar posibles puertas traseras como SnipBot, RustyClaw o Mythic en equipos de sectores sensibles.
- Mantener actualizado el software en todos los dispositivos de la organización.
Últimas Noticias
Android Auto presenta fallas: interrumpen el uso de Spotify y otras funciones visuales
Conductores reportan fallos en la visualización de canciones en Spotify y problemas de contraste en la interfaz
Bill Gates advierte que la desinformación es el mayor problema que afecta a la Generación Z: por qué
Líderes como el cofundador de Microsoft alertan sobre una crisis provocada por la masiva difusión de información falsa entre los jóvenes, impulsada por el creciente uso de inteligencia artificial, que ha potenciado su alcance y efectividad
Cómo crear un estado collage en WhatsApp con hasta 6 fotos sin instalar otras apps
La herramienta ofrece plantillas prediseñadas y mantiene la calidad de las imágenes optimizada para la plataforma
Cómo tener internet en casa cuando no hay luz
En estas emergencias, dispositivos como celulares y baterías portátiles permiten seguir realizando actividades personales y laborales en momentos donde el restablecimiento de la electricidad es demorado
Profe Alex, el youtuber colombiano de matemáticas, alcanza los 10 millones de suscriptores y recibe la placa de diamante
El creador de contenido asegura que YouTube le permitió combinar su gusto por la edición de videos y su vocación por la educación
