Una campaña de phishing puso en jaque a empresas de los sectores financiero, manufacturero, defensa y logística en Europa y Canadá, utilizando una vulnerabilidad zero-day en WinRAR, uno de los programas de compresión de archivos más populares del mundo.
El hallazgo, realizado por el equipo de investigación de ESET, saca a la luz los riesgos asociados a herramientas de uso cotidiano y lo que hacen los grupos de ciberespionaje.
Cómo encontraron la vulnerabilidad en WinRAR
El 18 de julio de 2025, los analistas detectaron intentos de explotación de un fallo no documentado previamente en versiones antiguas de WinRAR y en módulos relacionados, como UnRAR.dll y su código fuente portable.
El problema, ahora identificado como CVE-2025-8088, es de tipo “path traversal” y puede ser explotado gracias al uso de alternate data streams (ADS). Esto permite a los atacantes colocar archivos maliciosos fuera de los directorios esperados por el sistema, sorteando con ello barreras de seguridad tradicionales.
Esta vulnerabilidad facilita que un archivo RAR, cuidadosamente manipulado y presentado de modo engañoso, oculte en su interior componentes que se expanden sin que el usuario lo advierta tras la extracción del archivo comprimido.
De este modo, el código malicioso logra escribir ficheros en ubicaciones delicadas y ejecutarlos, abriendo la puerta a la ejecución de comandos, instalación de backdoors y descarga de módulos adicionales.
De acuerdo con la investigación, el fallo afectaba incluso a la versión 7.12 de WinRAR, la edición más reciente hasta el momento del descubrimiento. Inmediatamente después de la notificación de ESET, el fabricante de WinRAR lanzó, el 30 de julio de 2025, una actualización correctiva.
Cómo funciona el ataque de phishing en WinRAR
El ataque fue atribuido al grupo conocido como RomCom y conocido tanto por actividades de cibercrimen como de espionaje. El grupo tiene antecedentes de explotar vulnerabilidades de alto impacto: en junio de 2023 aprovechó una brecha en Microsoft Word y, en octubre de 2024, dirigió sus acciones hacia fallos en Firefox, Thunderbird y el navegador Tor.
Para esta campaña, RomCom utilizó el email de spearphishing como vector de ataque. Los mensajes simulaban solicitudes laborales adjuntando un archivo comprimido, ostensiblemente inocuo y relacionado con una postulación de empleo. El aparente currículum servía de señuelo para inducir a usuarios desprevenidos a descomprimir el archivo.
Una vez abierta la carpeta RAR, WinRAR procedía a extraer el supuesto CV, junto con componentes maliciosos escondidos en alternate data streams. Entre ellos, una DLL llamada msedge.dll se depositaba en la carpeta temporal de Windows, mientras que otro archivo, de formato LNK, se alojaba en el directorio de inicio. Esto garantizaba la ejecución del malware cada vez que el sistema arrancaba, logrando persistencia en el equipo comprometido.
En caso de éxito, el exploit facilitaba la instalación de backdoors como SnipBot (variante), RustyClaw y el agente Mythic, con el propósito de mantener acceso, recolectar información o realizar posteriores incursiones en las redes afectadas.
Cómo evitar caer en este ataque
Ante la gravedad del hallazgo, ESET emitió una recomendación clara: los usuarios de WinRAR y de utilidades asociadas deben instalar la última versión disponible del software para bloquear posibles intentos de explotación.
Aquellos responsables de entornos tecnológicos empresariales están llamados a reforzar los protocolos de filtrado de correo electrónico, implementar políticas de segmentación de red y monitorizar posibles indicadores relacionados con los backdoors empleados en la campaña.
La vulnerabilidad afectaba no solo al programa WinRAR, sino también a utilidades derivadas y componentes de terceros basados en UnRAR.dll o su código fuente, especialmente cuando estos no reciben actualizaciones regulares. Por lo tanto, resulta esencial revisar y mantener al día todas las herramientas que dependan, directa o indirectamente, de la funcionalidad de descompresión de archivos RAR.
Las principales recomendaciones pasan por:
- Instalar siempre la versión más reciente de WinRAR y componentes relacionados.
- Fortalecer el filtrado de correos para detectar y bloquear intentos de spearphishing.
- Implementar segmentación de red que limite el movimiento lateral en caso de intrusión.
- Buscar y neutralizar posibles puertas traseras como SnipBot, RustyClaw o Mythic en equipos de sectores sensibles.
- Mantener actualizado el software en todos los dispositivos de la organización.
Últimas Noticias
Nueva estafa a usuarios de Apple: con una llamada o un mensaje pueden robar los datos
El objetivo principal del ataque es obtener acceso y controlar servicios como iCloud, fotos y dispositivos asociados
Este es el significado de soñar que te persiguen según la inteligencia artificial
Desde significados ancestrales hasta hallazgos modernos, los sistemas inteligentes revelan que estas experiencias nocturnas ayudan a procesar emociones, detectar carencias y buscar respuestas personales
EA Sports FC 25, Grand Theft Auto V y Minecraft entre los videojuegos más buscados en Google durante 2025
El estudio revisó las consultas realizadas en más de 100 países, en los que las consolas de Sony y Nintendo también fueron destacadas
Así se pueden crear videos animados a partir de imágenes en Gemini
Con solo seleccionar fotografías y dar indicaciones, la IA genera piezas audiovisuales en 720p
Google Chrome tiene un nuevo panel central para organizar contraseñas, pagos, direcciones y más
Esta reorganización mejorará la visibilidad y el control de datos esenciales para transacciones y reservas en línea
