Vulnerabilidad de WinRAR CVE-2025-8088
Investigadores de seguridad han descubierto una amplia explotación de una vulnerabilidad crítica, ya parcheada, en RARLAB WinRAR por parte de múltiples actores de amenazas. Tanto adversarios de estados-nación como grupos con motivaciones económicas han aprovechado la falla para obtener acceso inicial a entornos objetivo y desplegar una amplia gama de cargas útiles maliciosas. A pesar de haber sido parcheada en julio de 2025, la vulnerabilidad continúa siendo explotada en diversas operaciones, lo que pone de manifiesto los riesgos persistentes asociados al software sin parchear.
Tabla de contenido
CVE-2025-8088: Descripción técnica e impacto
La vulnerabilidad, identificada como CVE-2025-8088 con una puntuación CVSS de 8.8, se solucionó en la versión 7.13 de WinRAR, publicada el 30 de julio de 2025. Su explotación permite la ejecución de código arbitrario mediante archivos comprimidos especialmente diseñados que se abren en versiones vulnerables del software. La causa principal es una falla de recorrido de ruta que permite a los atacantes colocar archivos en ubicaciones sensibles, especialmente en la carpeta de inicio de Windows, lo que permite la persistencia sigilosa y la ejecución automática al reiniciar el sistema y al iniciar sesión el usuario.
Esta técnica de explotación refleja una brecha defensiva más amplia en la higiene de seguridad de las aplicaciones básicas y en la concientización del usuario final.
Del día cero al día N: la evolución de los ataques
La falla fue explotada como día cero el 18 de julio de 2025, principalmente por el grupo de amenazas de doble motivación RomCom (también conocido como CIGAR o UNC4895). Estas operaciones distribuyeron una variante del malware SnipBot (NESTPACKER). Los investigadores también asocian actividad relacionada con el clúster identificado como UNC2596, vinculado a implementaciones del ransomware Cuba.
Tras su divulgación pública y la aplicación de parches, la vulnerabilidad se convirtió rápidamente en una vulnerabilidad de día n ampliamente explotada, donde los atacantes incrustaban archivos maliciosos, a menudo cargas útiles de acceso directo de Windows (LNK) ocultas en flujos de datos alternativos (ADS), dentro de contenido señuelo. Una vez extraídos, estos archivos se colocan en rutas predeterminadas del sistema y se activan automáticamente tras reiniciar.
Las operaciones de los Estados-nación amplían la explotación
Múltiples grupos de amenazas vinculados al gobierno han incorporado CVE-2025-8088 en campañas activas. En particular, actores alineados con Rusia han utilizado señuelos personalizados y cargas útiles secundarias para impulsar tanto el espionaje como objetivos disruptivos:
- Sandworm (también conocido como APT44 o FROZENBARENTS) implementó archivos que contenían archivos señuelo con temática ucraniana junto con cargas útiles LNK maliciosas diseñadas para recuperar componentes adicionales.
- Gamaredon (también conocido como CARPATHIAN) atacó a entidades gubernamentales ucranianas utilizando archivos RAR que entregaban descargadores de aplicaciones HTML (HTA) como primera etapa.
- Turla (también conocido como SUMMIT) abusó de la falla para distribuir el marco de malware STOCKSTAY, utilizando temas de ingeniería social vinculados con actividades militares y relacionadas con drones de Ucrania.
Al mismo tiempo, un actor de amenazas con sede en China utilizó la misma vulnerabilidad para instalar Poison Ivy, distribuida a través de un script por lotes colocado en la carpeta de inicio de Windows y configurado para recuperar un cuentagotas secundario.
Campañas con motivación financiera y segmentación comercial
Los grupos cibercriminales aprovecharon rápidamente la vulnerabilidad para implementar troyanos de acceso remoto (RAT) y ladrones de información contra víctimas comerciales. Las cargas útiles observadas incluyen puertas traseras controladas por bots de Telegram, así como familias de malware como AsyncRAT y XWorm.
En una campaña destacada, un grupo de ciberdelincuentes conocido por atacar a usuarios brasileños distribuyó una extensión maliciosa de Chrome. Esta extensión inyectó JavaScript en las páginas de dos sitios web bancarios brasileños para presentar contenido de phishing y obtener credenciales de usuario, lo que demuestra la flexibilidad del acceso inicial obtenido mediante el exploit WinRAR.
Mercados clandestinos y mercantilización de exploits
Se estima que la rápida y amplia adopción de CVE-2025-8088 se debe a una floreciente economía clandestina de exploits. Según informes, los exploits de WinRAR se anunciaron por miles de dólares, lo que redujo las barreras de entrada para una amplia gama de actores. Un proveedor que opera bajo el alias "zeroplayer" comercializó un exploit de WinRAR en las semanas previas a la divulgación pública de CVE-2025-8088.
El papel continuo de Zeroplayer como proveedor upstream ilustra la mercantilización del ciclo de vida del ataque, donde las capacidades de explotación llave en mano reducen los costos de desarrollo y permiten a grupos con diversas motivaciones realizar operaciones sofisticadas.
Un patrón más amplio: otras fallas de WinRAR bajo ataque
Esta actividad coincide con intentos de explotación contra otra vulnerabilidad de WinRAR, CVE-2025-6218 (puntuación CVSS: 7,8). Se ha observado que múltiples actores de amenazas, como GOFFEE, Bitter y Gamaredon, aprovechan esta vulnerabilidad, lo que refuerza la amenaza continua que representan las vulnerabilidades de día n y la velocidad con la que los adversarios explotan las debilidades recién descubiertas.
Implicaciones estratégicas para los defensores
El abuso constante de las vulnerabilidades parcheadas de WinRAR subraya la importancia de la gestión oportuna de parches, la formación de usuarios y la monitorización de mecanismos de persistencia, como archivos no autorizados en los directorios de inicio. La convergencia de la explotación patrocinada por el estado y la explotación criminal demuestra aún más la rapidez con la que las vulnerabilidades críticas se convierten en recursos compartidos en todo el panorama de amenazas.
