Cotización de descuento para licencias múltiples
Base de Datos de Amenazas Vulnerabilidad Vulnerabilidad de WinRAR CVE-2025-6218

Vulnerabilidad de WinRAR CVE-2025-6218

Por Mezo en Vulnerabilidad, Amenaza persistente avanzada (APT)
Traducir a:

La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) ha añadido oficialmente una falla de seguridad en el archivador y compresor de archivos WinRAR a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV). La agencia citó evidencia de que la vulnerabilidad se está explotando activamente, lo que genera preocupación tanto para organizaciones como para usuarios particulares.

La falla, identificada como CVE-2025-6218 con una puntuación CVSS de 7.8, es una vulnerabilidad de cruce de rutas que permite a un atacante ejecutar código en el contexto del usuario actual. Para explotarla con éxito, el usuario objetivo debe visitar un sitio web malicioso o abrir un archivo especialmente diseñado.

Detalles de la falla y estado del parche

RARLAB solucionó esta vulnerabilidad en WinRAR 7.12, lanzado en junio de 2025. La falla afecta únicamente a las compilaciones basadas en Windows; las versiones para Unix, Android y otras plataformas no se ven afectadas.

La vulnerabilidad permite a los atacantes colocar archivos en ubicaciones sensibles del sistema, como la carpeta de Inicio de Windows, lo que podría desencadenar la ejecución de código no deseado en el próximo inicio de sesión del sistema.

Actividad del actor de amenazas

Varios informes de ciberseguridad indican que CVE-2025-6218 ha sido explotado por tres actores de amenazas distintos:

  • GOFFEE (Hombre lobo de papel)
  • Amargo (APT-C-08 / Manlinghua)
  • Gamaredón
  • Campañas de GOFFEE

En julio de 2025, GOFFEE supuestamente combinó CVE-2025-6218 con CVE-2025-8088, otra vulnerabilidad de alta gravedad de cruce de rutas de WinRAR (puntuación CVSS de 8,8), para atacar organizaciones mediante correos electrónicos de phishing. Estos ataques sugieren un esfuerzo coordinado y sofisticado para comprometer entornos corporativos.

Explotación amarga de APT

Bitter, un grupo APT centrado en el sur de Asia, utilizó la vulnerabilidad como arma para mantener la persistencia en los sistemas comprometidos e implementar un troyano C# mediante un descargador ligero. El ataque involucra un archivo RAR llamado Provision of Information for Sectoral for AJK.rar, que contiene un documento de Word benigno y una plantilla de macro maliciosa.

La mecánica clave del ataque incluye:

  • Colocar Normal.dotm en la ruta de plantilla global de Microsoft Word, garantizando que la macro se ejecute automáticamente cada vez que se abra Word.
  • Evitar las protecciones de macros de correo electrónico estándar para los documentos recibidos después de la vulneración.
  • Permitir que el troyano se comunique con un servidor C2 externo en johnfashionaccess.com, lo que facilita el registro de teclas, la captura de pantalla, el robo de credenciales RDP y la exfiltración de archivos.

Estos archivos se distribuyen principalmente a través de campañas de phishing.

Explotación de Gamaredon

El grupo Gamaredon, afiliado a Rusia, también ha utilizado la vulnerabilidad CVE-2025-6218 en campañas de phishing dirigidas a entidades militares, gubernamentales, políticas y administrativas ucranianas. El malware, denominado Pteranodon, se detectó por primera vez en noviembre de 2025.

La evidencia indica que no se trata de una actividad oportunista. Representa espionaje y sabotaje estructurados con fines militares, probablemente coordinados por la inteligencia estatal rusa. Además, Gamaredon ha abusado de CVE-2025-8088 para distribuir malware de Visual Basic Script e implementar un limpiador destructivo llamado GamaWiper, lo que marca la primera transición observada del grupo del espionaje a operaciones destructivas.

Conclusiones para los equipos de seguridad

Las organizaciones y los equipos de seguridad deben priorizar las siguientes acciones:

  • Asegúrese de que todos los sistemas Windows que ejecutan WinRAR estén actualizados a la versión 7.12 o posterior.
  • Manténgase alerta ante las campañas de phishing, en particular los correos electrónicos de phishing selectivo que contienen archivos RAR o documentos de Word.
  • Monitorear actividades sospechosas que indiquen puertas traseras persistentes, registros de teclas o intentos de comunicación C2.
  • Reconocer que los actores patrocinados por el Estado pueden combinar múltiples vulnerabilidades para realizar ataques dirigidos.

La aplicación proactiva de parches, la higiene de la seguridad del correo electrónico y la supervisión de los puntos finales son fundamentales para mitigar estas amenazas avanzadas y limitar el impacto operativo de vulnerabilidades explotadas como CVE-2025-6218.

Tendencias

Mas Visto

Cargando...