Si utilizas WinRAR o sus componentes asociados (como las versiones para Windows de sus utilidades de línea de comandos, UnRAR.dll o el código fuente de UnRAR portátil), actualiza de inmediato a la última versión. ESET ha descubierto una vulnerabilidad desconocida hasta ahora en WinRAR que estaba siendo explotada por el grupo RomCom, vinculado a Rusia. El fallo, identificado como CVE-2025-8088, es una vulnerabilidad de path traversal que se aprovecha del uso de flujos de datos alternativos. Tras ser notificada, WinRAR publicó una versión corregida el 30 de julio de 2025.
Los ataques detectados buscaban instalar varias puertas traseras utilizadas por RomCom, entre ellas una variante de SnipBot, RustyClaw y el agente Mythic. La campaña tuvo como objetivo empresas de los sectores financiero, industrial, defensa y logística en Europa y Canadá.
Según los datos de ESET, entre el 18 y el 21 de julio de 2025, los atacantes distribuyeron archivos RAR maliciosos en campañas de spear phishing. Estos archivos simulaban ser documentos de aplicaciones y explotaban la vulnerabilidad para comprometer los equipos de las víctimas. Los correos incluían, por ejemplo, un currículum para tentar a los destinatarios. Aunque no se registraron infecciones, los mensajes estaban muy personalizados tras un trabajo previo de reconocimiento.
ESET atribuye esta actividad a RomCom con un alto nivel de confianza por la región atacada, las tácticas empleadas y el tipo de malware usado. Este grupo, también conocido como Storm-0978, Tropical Scorpius o UNC2596, combina operaciones de ciberespionaje con campañas delictivas más tradicionales. El malware que utilizan puede ejecutar comandos y descargar módulos adicionales en los equipos infectados. No es la primera vez que recurren a vulnerabilidades para atacar: en junio de 2023 lanzaron una campaña contra entidades gubernamentales y de defensa europeas, con señuelos relacionados con el Congreso Mundial Ucraniano.
“Explotar un zero-day como este demuestra que RomCom está dispuesto a invertir recursos y esfuerzo en sus operaciones. Los sectores elegidos coinciden con los intereses habituales de los grupos APT alineados con Rusia, lo que sugiere un trasfondo geopolítico claro”, destaca Peter Strýček, investigador de ESET.
Para un análisis técnico más detallado, ESET recomienda visitar la entrada “RomCom exploits a new vulnerability in the wild, this time in WinRAR” en WeLiveSecurity.com.
