ESET Research ha identificado una vulnerabilidad de día cero en WinRAR, catalogada como CVE-2025-8088, que fue aprovechada por el grupo RomCom —alineado con intereses rusos— en una serie de ataques dirigidos contra empresas de los sectores financiero, manufacturero, defensa y logística en Europa y Canadá.
El fallo, presente en versiones anteriores de WinRAR, así como en sus utilidades de línea de comandos para Windows, la biblioteca UnRAR.dll y el código fuente portátil de UnRAR, corresponde a una vulnerabilidad de traversal de ruta habilitada mediante el uso de alternate data streams. Tras la notificación de los investigadores, WinRAR lanzó el 30 de julio de 2025 una actualización que corrige el problema.
Cronología y naturaleza del ataque
Según los datos de telemetría recopilados, la campaña se desarrolló entre el 18 y el 21 de julio de 2025 mediante el envío de correos de spearphishing. Los mensajes incluían archivos RAR con rutas inusuales y un archivo malicioso denominado msedge.dll. El contenido se presentaba como un documento de solicitud laboral —con un currículum adjunto— para inducir a la víctima a abrirlo.
Aunque los ataques estaban altamente segmentados y precedidos de labores de reconocimiento, ESET no detectó compromisos efectivos en las organizaciones objetivo. No obstante, en los casos en que se explotaba la vulnerabilidad con éxito, los atacantes desplegaban backdoors como SnipBot (variante), RustyClaw y el agente Mythic.
Funcionamiento del exploit
El archivo malicioso aprovechaba la vulnerabilidad de path traversal para escribir ficheros fuera de las rutas previstas por el sistema, facilitando la ejecución de código no autorizado. Esta técnica permitía a RomCom instalar módulos adicionales y ejecutar comandos en el sistema comprometido.
El fallo afectaba incluso a la versión 7.12 de WinRAR, la más reciente antes de la publicación del parche. Los investigadores Peter Strýček y Anton Cherepanov detectaron el vector de ataque y contactaron con el desarrollador el 24 de julio, día en que se publicó una versión beta con la corrección.
Perfil del grupo RomCom
RomCom, también identificado como Storm-0978, Tropical Scorpius o UNC2596, es un actor de amenazas persistentes avanzadas (APT) con historial en operaciones tanto criminales como de inteligencia. Su actividad combina campañas oportunistas contra sectores concretos con operaciones de ciberespionaje orientadas a la obtención de información estratégica.
En junio de 2023, el grupo llevó a cabo una campaña de spearphishing contra entidades gubernamentales y de defensa en Europa, empleando señuelos relacionados con el Congreso Mundial Ucraniano. Este patrón de actividad refuerza la evaluación de que el grupo actúa con motivaciones alineadas a intereses geopolíticos.
Mitigación y medidas recomendadas
ESET recomienda a los usuarios de WinRAR y de sus componentes derivados instalar la última versión disponible para prevenir intentos de explotación. Las organizaciones de los sectores potencialmente afectados deben reforzar sus protocolos de filtrado de correos electrónicos, implementar segmentación de red y vigilar la presencia de los backdoors mencionados.
La divulgación de la vulnerabilidad y su rápida corrección evidencian la necesidad de mantener actualizadas las aplicaciones críticas, especialmente aquellas de uso generalizado en entornos corporativos, donde su explotación puede facilitar accesos no autorizados a información sensible.
