Advertencia de Google sobre la explotación activa de CVE-2025-8088 en WinRAR
Publicado el
Explotación de la vulnerabilidad CVE-2025-8088 en WinRAR
Recientemente, Google ha emitido una advertencia sobre la explotación activa de una vulnerabilidad crítica en RARLAB WinRAR, identificada como CVE-2025-8088. Este fallo de seguridad, que fue parcheado en julio de 2025, ha sido objeto de interés por parte de múltiples grupos de amenazas, incluidas entidades respaldadas por gobiernos y actores motivados financieramente.
Según el Grupo de Inteligencia de Amenazas de Google (GTIG), desde su descubrimiento y posterior corrección, actores de amenazas vinculados a Rusia y China han continuado explotando esta vulnerabilidad en una serie de operaciones. Este grupo ha destacado que la técnica de explotación común se basa en una falla de recorrido de ruta que permite que archivos maliciosos se coloquen en la carpeta de inicio de Windows, garantizando así su persistencia en el sistema.
La vulnerabilidad CVE-2025-8088 tiene un puntaje CVSS de 8.8 y fue corregida con la versión 7.13 de WinRAR lanzada el 30 de julio de 2025. Si se explota con éxito, un atacante puede ejecutar código arbitrario al abrir archivos de archivo maliciosos en versiones vulnerables del programa. La empresa de ciberseguridad ESET, que detectó y reportó este defecto de seguridad, ha observado que el grupo de amenazas conocido como RomCom (también denominado CIGAR o UNC4895) comenzó a aprovechar la vulnerabilidad como un zero-day desde el 18 de julio de 2025, utilizando esta brecha para distribuir una variante del malware SnipBot (también conocido como NESTPACKER).
Además, Google está monitorizando un grupo de amenazas relacionado con el despliegue de Cuba Ransomware, conocido por utilizar el RomCom RAT bajo la referencia UNC2596. Se han reportado posibles conexiones entre los operadores de UNC2596, UNC4895 y un mercado de extorsión de datos llamado Industrial Spy.
Desde la divulgación pública de la vulnerabilidad, este fallo ha sido objeto de explotación generalizada. Las cadenas de ataque suelen ocultar el archivo malicioso (como un acceso directo de Windows) dentro de los flujos de datos alternativos (ADS) de un archivo de engaño incluido en el archivo comprimido. Esto permite que el payload se extraiga a una ruta específica (como la carpeta de inicio de Windows) y se ejecute automáticamente al iniciar sesión en el sistema después de un reinicio.
Entre los actores de amenazas rusos que han comenzado a explotar esta vulnerabilidad se encuentran: - Sandworm (también conocido como APT44 y FROZENBARENTS), que ha utilizado la brecha para colocar un archivo de engaño con un nombre de archivo ucraniano y un acceso directo malicioso. - Gamaredon (también conocido como CARPATHIAN), que ha atacado a agencias gubernamentales ucranianas con archivos RAR maliciosos que contienen archivos de HTML Application (HTA) diseñados para descargar un segundo payload. - Turla (también conocido como SUMMIT), que ha utilizado la vulnerabilidad para entregar la suite de malware STOCKSTAY mediante engaños relacionados con actividades militares y operaciones de drones en Ucrania.
El GTIG también ha identificado a un actor basado en China que ha utilizado CVE-2025-8088 para distribuir Poison Ivy a través de un script por lotes colocado en la carpeta de inicio de Windows, configurado para descargar un dropper. Los actores motivados financieramente han adoptado rápidamente la vulnerabilidad para desplegar RATs de uso común y robadores de información contra objetivos comerciales.
Algunos de estos ataques han resultado en la implementación de puertas traseras controladas por bot de Telegram y familias de malware como AsyncRAT y XWorm. En otro caso, un grupo de cibercriminales conocido por atacar a usuarios brasileños a través de sitios web bancarios ha entregado una extensión maliciosa de Chrome capaz de inyectar JavaScript en las páginas de dos bancos brasileños para realizar ataques de phishing y robar credenciales.
La explotación generalizada de esta vulnerabilidad se atribuye a una próspera economía subterránea, donde los exploits de WinRAR se han publicitado por miles de dólares. Un proveedor conocido como zeroplayer promocionó un exploit de WinRAR poco antes de la divulgación pública de CVE-2025-8088. La continua actividad de zeroplayer como proveedor de exploits resalta la comoditización del ciclo de ataque, permitiendo a actores con diversas motivaciones utilizar un conjunto variado de capacidades.
Este desarrollo se produce en un contexto en el que otra vulnerabilidad en WinRAR, CVE-2025-6218 (puntaje CVSS de 7.8), también ha sido objeto de intentos de explotación por parte de varios actores de amenazas, incluidos GOFFEE, Bitter y Gamaredon, lo que pone de manifiesto el peligro que presentan las vulnerabilidades N-day.