La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) agregó el martes una falla de seguridad que afecta al archivador de archivos WinRAR y a la utilidad de compresión a su catálogo de vulnerabilidades explotadas conocidas (KEV), citando evidencia de explotación activa.
La vulnerabilidad, rastreada como CVE-2025-6218 (puntuación CVSS: 7,8), es un error de recorrido de ruta que permite la ejecución de código. Sin embargo, un exploit exitoso requeriría que el objetivo potencial visitara una página maliciosa o abriera un archivo malicioso.
«Existe una vulnerabilidad de recorrido de ruta en RARLAB WinRAR que podría permitir a un atacante ejecutar código en el contexto del usuario actual», dijo CISA en la alerta.
RARLAB parchó esta vulnerabilidad utilizando WinRAR 7.12 en junio de 2025. Afecta únicamente a las compilaciones basadas en Windows. Las versiones de la herramienta para otras plataformas, como Unix y Android, no se ven afectadas.
«Esta falla podría explotarse para colocar archivos en ubicaciones confidenciales, como la carpeta de inicio de Windows, lo que podría provocar la ejecución no deseada de código en el siguiente inicio de sesión del sistema», señaló RARLAB en ese momento.
Este desarrollo sigue a múltiples informes de BI.ZONE, Foresiet, SecPod y Synaptic Security, donde la vulnerabilidad está siendo explotada por dos actores de amenazas diferentes rastreados como GOFFEE (también conocido como Paper Werewolf), Bitter (también conocido como APT-C-08 o Manlinghua) y Gamaredon.
En un análisis publicado en agosto de 2025, el proveedor ruso de ciberseguridad dijo que hay indicios de que GOFFEE, junto con otra falla de recorrido de ruta de WinRAR, CVE-2025-8088 (puntuación CVSS: 8,8), puede haber sido explotada en ataques dirigidos a organizaciones nacionales a través de correos electrónicos de phishing en julio de 2025.
Posteriormente, también se descubrió que Bitter APT, centrado en el sur de Asia, estaba explotando esta vulnerabilidad para facilitar la persistencia en hosts comprometidos y, en última instancia, eliminar un troyano C# mediante un descargador liviano. El ataque aprovecha un archivo RAR («Información del sector para AJK.rar») que contiene un documento de Word benigno y una plantilla de macro maliciosa.
«El archivo malicioso coloca un archivo llamado Normal.dotm en la ruta de la plantilla global de Microsoft Word», dijo Foresiet el mes pasado. «Normal.dotm es una plantilla global que se carga cada vez que se abre Word. Al reemplazar archivos legítimos, los atacantes pueden hacer que el código de macro malicioso se ejecute automáticamente, proporcionando una puerta trasera persistente que evita el bloqueo de macros de correo electrónico estándar en los documentos recibidos después del compromiso inicial».
El troyano C# está diseñado para conectarse a un servidor externo (‘johnfashionaccess(.)com’) para comando y control (C2), lo que permite el registro de teclas, la captura de capturas de pantalla, la recopilación de credenciales del Protocolo de escritorio remoto (RDP) y la extracción de archivos. Se sabe que los archivos RAR se propagan mediante ataques de phishing.
Por último, pero no menos importante, CVE-2025-6218 ha sido explotado por el grupo de hackers ruso conocido como Gamaredon en campañas de phishing dirigidas a instituciones militares, gubernamentales, políticas y administrativas en Ucrania, infectándolas con un malware llamado Pteranodon. Esta actividad se observó por primera vez en noviembre de 2025.
«Esta no es una campaña oportunista», afirmó un investigador de seguridad llamado Robin. «Esta es una operación organizada de espionaje y sabotaje con orientación militar consistente y posiblemente coordinada por la inteligencia estatal rusa».
También vale la pena señalar que los atacantes están explotando ampliamente CVE-2025-8088, usándolo para distribuir malware malicioso de Visual Basic Script e implementando un nuevo limpiador con nombre en código GamaWiper.
«Este es el primer caso en el que se ha observado a Gamaredon realizando operaciones de sabotaje en lugar de espionaje tradicional», dijo Clear Sky en una publicación del 30 de noviembre de 2025 en X.
A la luz de la explotación activa, las agencias del Poder Ejecutivo Civil Federal (FCEB) tienen hasta el 30 de diciembre de 2025 para aplicar las correcciones necesarias para proteger sus redes.
Source link
