Una campaña de phishing puso en jaque a empresas de los sectores financiero, manufacturero, defensa y logística en Europa y Canadá, utilizando una vulnerabilidad zero-day en WinRAR, uno de los programas de compresión de archivos más populares del mundo.
El hallazgo, realizado por el equipo de investigación de ESET, saca a la luz los riesgos asociados a herramientas de uso cotidiano y lo que hacen los grupos de ciberespionaje.
Cómo encontraron la vulnerabilidad en WinRAR
El 18 de julio de 2025, los analistas detectaron intentos de explotación de un fallo no documentado previamente en versiones antiguas de WinRAR y en módulos relacionados, como UnRAR.dll y su código fuente portable.
El problema, ahora identificado como CVE-2025-8088, es de tipo “path traversal” y puede ser explotado gracias al uso de alternate data streams (ADS). Esto permite a los atacantes colocar archivos maliciosos fuera de los directorios esperados por el sistema, sorteando con ello barreras de seguridad tradicionales.
Esta vulnerabilidad facilita que un archivo RAR, cuidadosamente manipulado y presentado de modo engañoso, oculte en su interior componentes que se expanden sin que el usuario lo advierta tras la extracción del archivo comprimido.
De este modo, el código malicioso logra escribir ficheros en ubicaciones delicadas y ejecutarlos, abriendo la puerta a la ejecución de comandos, instalación de backdoors y descarga de módulos adicionales.
De acuerdo con la investigación, el fallo afectaba incluso a la versión 7.12 de WinRAR, la edición más reciente hasta el momento del descubrimiento. Inmediatamente después de la notificación de ESET, el fabricante de WinRAR lanzó, el 30 de julio de 2025, una actualización correctiva.
Cómo funciona el ataque de phishing en WinRAR
El ataque fue atribuido al grupo conocido como RomCom y conocido tanto por actividades de cibercrimen como de espionaje. El grupo tiene antecedentes de explotar vulnerabilidades de alto impacto: en junio de 2023 aprovechó una brecha en Microsoft Word y, en octubre de 2024, dirigió sus acciones hacia fallos en Firefox, Thunderbird y el navegador Tor.
Para esta campaña, RomCom utilizó el email de spearphishing como vector de ataque. Los mensajes simulaban solicitudes laborales adjuntando un archivo comprimido, ostensiblemente inocuo y relacionado con una postulación de empleo. El aparente currículum servía de señuelo para inducir a usuarios desprevenidos a descomprimir el archivo.
Una vez abierta la carpeta RAR, WinRAR procedía a extraer el supuesto CV, junto con componentes maliciosos escondidos en alternate data streams. Entre ellos, una DLL llamada msedge.dll se depositaba en la carpeta temporal de Windows, mientras que otro archivo, de formato LNK, se alojaba en el directorio de inicio. Esto garantizaba la ejecución del malware cada vez que el sistema arrancaba, logrando persistencia en el equipo comprometido.
En caso de éxito, el exploit facilitaba la instalación de backdoors como SnipBot (variante), RustyClaw y el agente Mythic, con el propósito de mantener acceso, recolectar información o realizar posteriores incursiones en las redes afectadas.
Cómo evitar caer en este ataque
Ante la gravedad del hallazgo, ESET emitió una recomendación clara: los usuarios de WinRAR y de utilidades asociadas deben instalar la última versión disponible del software para bloquear posibles intentos de explotación.
Aquellos responsables de entornos tecnológicos empresariales están llamados a reforzar los protocolos de filtrado de correo electrónico, implementar políticas de segmentación de red y monitorizar posibles indicadores relacionados con los backdoors empleados en la campaña.
La vulnerabilidad afectaba no solo al programa WinRAR, sino también a utilidades derivadas y componentes de terceros basados en UnRAR.dll o su código fuente, especialmente cuando estos no reciben actualizaciones regulares. Por lo tanto, resulta esencial revisar y mantener al día todas las herramientas que dependan, directa o indirectamente, de la funcionalidad de descompresión de archivos RAR.
Las principales recomendaciones pasan por:
- Instalar siempre la versión más reciente de WinRAR y componentes relacionados.
- Fortalecer el filtrado de correos para detectar y bloquear intentos de spearphishing.
- Implementar segmentación de red que limite el movimiento lateral en caso de intrusión.
- Buscar y neutralizar posibles puertas traseras como SnipBot, RustyClaw o Mythic en equipos de sectores sensibles.
- Mantener actualizado el software en todos los dispositivos de la organización.
Últimas Noticias
Descubre 5 formas de aprovechar NotebookLM, la inteligencia artificial de Google
El verdadero valor de esta herramienta de IA radica en su capacidad de interactuar directamente con los documentos que el usuario carga en la plataforma
Elon Musk alerta sobre la IA: “destruirá el sistema límbico y aumentará la tasa de natalidad”
El magnate de Tesla y SpaceX, conocido por sus especulaciones sobre lo que vendrá, se refirió primero al impacto de la inteligencia artificial en el cerebro humano
Pixel Watch 4 de Google sorprende con una batería y pantalla que se pueden reemplazar
El smartwatch de Google incorpora una parte trasera con tornillos Torx que facilitan el acceso a componentes esenciales como la fuente de energía y el panel frontal
El adiós de la mente creativa: renuncia la líder global de redes sociales de Duolingo
The Wall Street Journal resalta cómo la salida de Zaria Parvez marca el fin de una etapa de innovación y pone en foco los desafíos personales detrás del fenómeno digital de la plataforma
Cuál es la temperatura ideal del aire acondicionado para dormir mejor en verano
Cada grado por debajo de lo sugerido obliga al electrodoméstico a trabajar más intensamente, un factor que eleva el consumo de energía y el monto de dinero a pagar a fin de mes
