Dos campañas de ciberataques alineadas con Rusia explotaron fallas de seguridad en WinRAR y continuaron apuntando a organizaciones en Ucrania casi un año después de que se lanzara un parche para la vulnerabilidad.
Trend Micro atribuye esta actividad a Earth Dahu (también conocido como Gamaredon) y SHADOW-EARTH-066 (también conocido como UAC-0226). Esto incluye la explotación de CVE-2025-8088, una falla de recorrido de ruta que permite a los atacantes escribir archivos fuera del directorio de extracción a través de NTFS Alternate Data Streams (ADS). Parcheado por WinRAR en julio de 2025.
En un análisis publicado el lunes, los investigadores de Trend Micro, Hiroyuki Kagara y Feike Huckbod, dijeron que los hallazgos muestran «cómo el software no controlado deja abiertos los puntos de entrada explotados mucho después de que se distribuye una solución».
La cadena de exploits WinRAR explotada por SHADOW-EARTH-066 es diferente del cuentagotas de macros de Excel utilizado anteriormente por los actores de amenazas para entregar un ladrón de información llamado GIFTEDCROOK. La última versión aprovecha un archivo RAR diseñado que presenta un documento PDF señuelo y tres cargas útiles ADS ocultas ubicadas fuera del directorio de extracción para iniciar la infección.
Contiene un archivo de acceso directo de Windows (LNK) que se coloca en la carpeta de inicio para que se ejecute automáticamente cada vez que el usuario inicia sesión. Esto genera un cargador de PowerShell a través de «cmd.exe» que utiliza la carga de DLL en memoria para eventualmente iniciar una versión actualizada de GIFTEDCROOK («result.dll»).
Además de recopilar documentos que coinciden con extensiones específicas de la máquina de la víctima, el malware apunta a contraseñas y cookies de navegadores basados en Chromium (Google Chrome, Microsoft Edge, Opera) y Mozilla Firefox. Una vez que los datos se filtran a un servidor externo, se eliminan todos los artefactos maliciosos para ocultar cualquier rastro forense.
Un cambio notable es el paso de Telegram como canal de exfiltración a servidores dedicados de comando y control (C2), un cambio importante que probablemente coincide con el bloqueo de Rusia de la plataforma de mensajería nacional a principios de febrero de este año.
El segundo grupo de hackers ruso que utiliza CVE-2025-8088 como arma es Earth Dahu, que ha estado incorporando esta vulnerabilidad en sus armas desde al menos septiembre de 2025. Los actores de amenazas son conocidos por sus «esfuerzos a escala industrial» para mantener el acceso a largo plazo a las organizaciones comprometidas.
«Earth Dahu utilizó esta vulnerabilidad en una cadena de infección de HTA a VBScript para entregar un módulo espía», señaló Trend Micro. «Según las marcas de tiempo internas de los archivos RAR y las convenciones de nomenclatura de archivos, la cadena permaneció activa al menos hasta el 10 de abril de 2026».
Estos ataques llevaron a la implementación de GammaPhish, una aplicación HTML (HTA), que se utiliza para obtener un descargador de VBScript llamado GammaLoad, como informó recientemente Sekoia la semana pasada. Los descargadores intermedios luego entregan módulos adicionales como GammaSteel.
GammaLoad es «una colección de VBScripts diseñada para aprovechar los solucionadores de caída muerta (DDR) para garantizar el acceso continuo e implementar cargas útiles a lo largo del tiempo», dijo Sekoia, y agregó que se utiliza para implementar droppers diseñados para iniciar el cargador de VBScript responsable de ejecutar GammaSteel, un ladrón de información integral que puede monitorear los cambios en los archivos en tiempo real.
«WinRAR está profundamente arraigado en las operaciones diarias de las organizaciones en toda Ucrania, lo que lo convierte en un objetivo atractivo para la explotación», afirmó Trend Micro. «La concentración de grupos existentes patrocinados por el Estado y grupos rastreados de forma independiente en una sola vulnerabilidad refleja la escala de la amenaza cibernética que enfrenta Ucrania».
Source link
