Vulnerabilidad zero-day en WinRAR está siendo explotada activamente

ESET Research descubrió una vulnerabilidad de zero-day en WinRAR que está siendo explotada en la naturaleza bajo la apariencia de documentos de solicitud de empleo; los archivos explotan un fallo de ruta transversal para comprometer a sus objetivos.

ESET

8/14/20259 min read

ESET Research descubrió una vulnerabilidad de zero-day en WinRAR que está siendo explotada en la naturaleza bajo la apariencia de documentos de solicitud de empleo; los archivos explotan un fallo de ruta transversal para comprometer a sus objetivos

Los investigadores de ESET han descubierto una vulnerabilidad en WinRAR que está siendo explotada por el grupo ruso RomCom. Esta es al menos la tercera vez que RomCom ha sido sorprendido explotando una importante vulnerabilidad de zero-day in the wild. Los ejemplos anteriores incluyen el abuso de CVE-2023-36884 a través de Microsoft Word en junio de 2023, y las vulnerabilidades combinadas asignadas CVE-2024-9680 encadenadas con otra vulnerabilidad previamente desconocida en Windows, CVE-2024-49039, dirigidas a versiones vulnerables de Firefox, Thunderbird y el navegador Tor, que conducen a la ejecución de código arbitrario en el contexto del usuario conectado en octubre de 2024.

Puntos clave de este blogpost:

  • Si utilizas WinRAR u otros componentes afectados, como las versiones para Windows de sus utilidades de línea de comandos, UnRAR.dll o el código fuente portable de UnRAR, actualiza inmediatamente a la última versión.

  • El 18 de julio de 2025, los investigadores de ESET descubrieron una vulnerabilidad de día cero desconocida hasta entonces en WinRAR que estaba siendo explotada.

  • El análisis del exploit llevó al descubrimiento de la vulnerabilidad, ahora asignada CVE-2025-8088: una vulnerabilidad de path traversal, posible gracias al uso de flujos de datos alternativos.

  • Tras una notificación inmediata, WinRAR publicó una versión parcheada el 30 de julio de 2025.

  • La vulnerabilidad permite ocultar archivos maliciosos en un archivo comprimido, que se despliegan silenciosamente al extraerlo.

  • Los intentos de explotación con éxito proporcionaron varios backdoors utilizados por el grupo RomCom, concretamente una variante de SnipBot, RustyClaw y el agente Mythic.

  • Esta campaña se dirigió a empresas financieras, de fabricación, defensa y logística de Europa y Canadá.

Perfil de RomCom

RomCom (también conocido como Storm-0978, Tropical Scorpius o UNC2596) es un grupo alineado con Rusia que lleva a cabo tanto campañas oportunistas contra determinados sectores empresariales como operaciones de espionaje selectivo. El enfoque del grupo ha cambiado para incluir operaciones de espionaje que recopilan inteligencia, en paralelo con sus operaciones de ciberdelincuencia más convencionales. El backdoor utilizado habitualmente por el grupo es capaz de ejecutar comandos y descargar módulos adicionales en la máquina de la víctima.

El descubrimiento de CVE-2025-8088

El 18 de julio de 2025, observamos una DLL maliciosa llamada msedge.dll en un archivo RAR que contenía rutas inusuales que llamaron nuestra atención. Tras un análisis más detallado, descubrimos que los atacantes estaban explotando una vulnerabilidad desconocida hasta entonces que afectaba a WinRAR, incluida la versión 7.12, entonces vigente. El 24 de julio de 2025, nos pusimos en contacto con el desarrollador de WinRAR y, ese mismo día, se corrigió la vulnerabilidad y se publicó WinRAR 7.13 beta 1. WinRAR 7.13 se publicó el 30 de julio de 2025. Se recomienda a los usuarios de WinRAR que instalen la última versión lo antes posible para mitigar el riesgo. Ten en cuenta que las soluciones de software que dependen de versiones de Windows disponibles públicamente de UnRAR.dll o su código fuente correspondiente también están afectadas, especialmente aquellas que no han actualizado sus dependencias.

La vulnerabilidad, rastreada como CVE-2025-8088, utiliza flujos de datos alternativos (ADS) para atravesar la ruta. Una vulnerabilidad similar (CVE-2025-6218) que afectaba a WinRAR había sido revelada el 19 de junio de 2025, aproximadamente un mes antes.

Los atacantes crearon especialmente el archivo para que aparentemente sólo contuviera un archivo benigno (ver Figura 1), mientras que contiene muchos ADS maliciosos (no hay indicación de ellos desde el punto de vista del usuario).

Figura 1. Eli_Rosenfeld_CV2 - Copia (10).rar abierto en WinRAR

Una vez que la víctima abre este archivo aparentemente benigno, WinRAR lo desempaqueta junto con todos sus ADS. Por ejemplo, para Eli_Rosenfeld_CV2 - Copy (10).rar, se despliega una DLL maliciosa en %TEMP%. Del mismo modo, se despliega un archivo LNK malicioso en el directorio de inicio de Windows, con lo que se consigue la persistencia mediante la ejecución en el inicio de sesión del usuario.

Para asegurar un mayor éxito, los atacantes proporcionaron múltiples ADS con profundidades crecientes de elementos de ruta relativa del directorio padre (..\\\). Sin embargo, esto introduce rutas inexistentes sobre las que WinRAR advierte visiblemente. Curiosamente, los atacantes añadieron ADS que contienen datos ficticios y se espera que tengan rutas no válidas. Sospechamos que los atacantes los introdujeron para que la víctima no se percatara de las rutas DLL y LNK sospechosas (ver Figura 2). Sólo al desplazarse hacia abajo en la interfaz de usuario de WinRAR se revelan las rutas sospechosas, como se ve en la Figura 3.

Figura 2. Errores mostrados por WinRAR al descomprimir Eli_Rosenfeld_CV2 - Copy (10).rar

Figura 3. Errores de WinRAR mostrados al descomprimir Eli_Rosenfeld_CV2 - Copy (10).rar; desplazado hacia abajo y resaltado

Cadena de compromiso

Según la telemetría de ESET, estos archivos se utilizaron en campañas de spearphishing del 18 al 21 de julio de 2025, dirigidas a empresas financieras, de fabricación, defensa y logística de Europa y Canadá. La Tabla 1 contiene los correos electrónicos de spearphishing -remitente, asunto y nombre del archivo adjunto- utilizados en las campañas, y la Figura 4 muestra el mensaje que observamos en un correo electrónico. En todos los casos, los atacantes enviaron un CV con la esperanza de que un objetivo curioso lo abriera. Según la telemetría de ESET, ninguno de los objetivos se vio comprometido.

Tabla 1. Correos electrónicos de spearphishing observados en la telemetría de ESET

Figura 4. Mensaje de correo electrónico observado

Estos archivos RAR siempre contienen dos archivos maliciosos: un archivo LNK, descomprimido en el directorio de inicio de Windows, y una DLL o EXE, descomprimidos en %TEMP% o %LOCALAPPDATA%. Algunos de los archivos comparten el mismo malware. Hemos identificado tres cadenas de ejecución.

Cadena de ejecución del agente Mythic

En la primera cadena de ejecución, representada en la Figura 5, el archivo LNK malicioso Updater.lnk añade el valor de registro HKCU\SOFTWARE\Classes\CLSID\{1299CF18-C4F5-4B6A-BB0F-2299F0398E27}\InprocServer32 y lo establece en %TEMP%\msedge.dll. Esto se utiliza para activar la ejecución de esa DLL a través de COM hijacking. En concreto, el CLSID corresponde al objeto PSFactoryBuffer presente en npmproxy.dll. Como resultado, cualquier ejecutable que intente cargarlo (por ejemplo, Microsoft Edge) desencadenará la ejecución del código de la DLL maliciosa. Esta DLL es responsable de descifrar el shellcode incrustado mediante AES y ejecutarlo posteriormente. Curiosamente, recupera el nombre de dominio de la máquina actual, —que suele incluir el nombre de la empresa—, y lo compara con un valor codificado. Si no coinciden., el rpigrama cierra automáticamente. Esto significa que los atacantes habían realizado un reconocimiento previo, lo que confirma que este correo electrónico tenía un objetivo muy concreto.

El shellcode cargado parece ser un perfil C2 dynamichttp para el agente Mythic que tiene el siguiente servidor C&C: https://srlaptop[.]com/s/0.7.8/clarity.js.

Figura 5. Cadena de ejecución del agente Mythic

Se incluye una configuración estándar para el perfil dynamichttp C2 y otra personalizada, que se muestra en la Figura 6.

Al igual que en la etapa anterior, esta configuración contiene un nombre de dominio hardcodeado del objetivo.

{'disable_etw': '2', 'block_non_ms_dlls': '3', 'child_process': 'wmic.exe', 'use_winhttp': 1, 'inject_method': '1', 'dll_side': ['MsEdge', 'OneDrive'], 'domain': '[REDACTED]'}

Figura 6. Configuración personalizada en la cadena de ejecución Mythic

Cadena de ejecución de la variante SnipBot

En la segunda cadena de ejecución, que se muestra en la Figura 7, el archivo LNK malicioso Display Settings.lnk ejecuta %LOCALAPPDATA%\ApbxHelper.exe. Se trata de una versión modificada de PuTTY CAC, que es una bifurcación de PuTTY, y está firmada con un certificado de firma de código no válido. El código adicional utiliza el nombre de archivo como clave para descifrar cadenas y la siguiente etapa, que es shellcode. El shellcode parece ser una variante de SnipBot, malware atribuido a RomCom por UNIT 42. El código shell sólo se ejecuta si hay un valor de registro específico(68 para esta muestra) en la clave de registro HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs\ (en otras palabras, si se han abierto recientemente al menos 69 documentos); se trata de una técnica antianálisis para evitar la ejecución en una máquina virtual o sandbox vacía. Si se abrieron recientemente al menos 69 documentos, el shellcode de la siguiente etapa se descifra utilizando el nombre de la clave de registro (por ejemplo, 68, pero convertido de cadena a entero), y se ejecuta, descargando otra etapa desde https://campanole[.]com/TOfrPOseJKZ.

También encontramos un ApbxHelper.exe idéntico dentro de Adverse_Effect_Medical_Records_2025.rar, subido a VirusTotal desde Alemania. Este archivo también explota la vulnerabilidad CVE-2025-8088.

Figura 7. Cadena de ejecución de la variante SnipBot

Cadena de ejecución de MeltingClaw

En el tercer caso de ejecución, que se muestra en la Figura 8, el archivo LNK malicioso Settings.lnk ejecuta %LOCALAPPDATA%\Complaint.exe, que es RustyClaw - un downloader escrito en Rust analizado previamente por Talos. Esta muestra está firmada con un certificado de firma de código no válido, que es diferente del certificado de firma de código utilizado en la variante SnipBot. RustyClaw descarga y ejecuta otro payload, de https://melamorri[.]com/iEZGPctehTZ. Este payload (SHA-1: 01D32FE88ECDEA2B934A00805E138034BF85BF83), con nombre interno install_module_x64.dll, coincide parcialmente con el análisis de MeltingClaw realizado por Proofpoint, un downloader diferente atribuido a RomCom. El servidor de C&C de la muestra MeltingClaw que hemos observado es https://gohazeldale[.]com.

Figura 8. Cadena de ejecución de MeltingClaw

Cadena de ejecución de MeltingClaw

Atribución

Atribuimos las actividades observadas a RomCom con un alto grado de confianza basándonos en la región objetivo, las TTP y el malware utilizado.

No es la primera vez que RomCom utiliza exploits para comprometer a sus víctimas. En junio de 2023, el grupo realizó una campaña de spearphishing dirigida a entidades de defensa y gubernamentales de Europa, con señuelos relacionados con el Congreso Mundial Ucraniano. El documento de Microsoft Word adjunto al correo electrónico intentaba explotar la vulnerabilidad CVE-2023-36884, según ha documentado el equipo de Investigación e Inteligencia de Amenazas de BlackBerry.

El 8 de octubre de 2024, el grupo explotó una vulnerabilidad entonces desconocida en el navegador Firefox. El exploit apuntaba a una vulnerabilidad use-after-free en las líneas de tiempo de Animación de Firefox, permitiendo a un atacante lograr la ejecución de código en un proceso de contenido, con el objetivo de entregar el backdoor RomCom. Se asignó el identificador de vulnerabilidad CVE-2024-9680, como se documenta en nuestro blog WeLiveSecurity.

Otras actividades

Somos conscientes de que esta vulnerabilidad también ha sido explotada por otro actor de amenazas, y fue descubierta de forma independiente por la empresa rusa de ciberseguridad BI.ZONE. Cabe destacar que este segundo actor de amenazas comenzó a explotar CVE-2025-8088 unos días después de que RomCom empezara a hacerlo.

Conclusión

Al explotar una vulnerabilidad de zero-day previamente desconocida en WinRAR, el grupo RomCom ha demostrado que está dispuesto a invertir grandes esfuerzos y recursos en sus ciberoperaciones. Esta es al menos la tercera vez que RomCom utiliza una vulnerabilidad de zero-day in the wild, lo que pone de manifiesto su constante interés en adquirir y utilizar exploits para ataques selectivos. La campaña descubierta se dirigió a sectores que coinciden con los intereses típicos de los grupos APT alineados con Rusia, lo que sugiere una motivación geopolítica detrás de la operación.

Queremos agradecer al equipo de WinRAR su cooperación y rápida respuesta, y reconocer su esfuerzo por publicar un parche en tan sólo un día.

Gracias a Peter Košinár por su ayuda en el análisis.

Para cualquier consulta sobre nuestra investigación publicada en WeLiveSecurity, por favor contáctenos en threatintel@eset.com.

IoCs

Puede encontrar una lista completa de indicadores de compromiso (IoCs) y muestras en nuestro repositorio GitHub.

Archivos


SISA Consultores.

Soluciones innovadoras para tu empresa.

Contacto

Consultoría

soporte@sisaconsultores.mx

+52 33 2248 0100

© 2024. All rights reserved.

Soporte SISA

+52 33 1240 9744

info@sisaconsultores.mx

Síguenos en:

Nuestro aviso de privacidad