Google reveló el martes que múltiples actores de amenazas, incluidos adversarios estatales y grupos con motivación financiera, están explotando fallas de seguridad críticas parcheadas en RARLAB WinRAR para obtener acceso inicial y desplegar varias cargas útiles.
«Aunque fueron descubiertos y parcheados en julio de 2025, los actores patrocinados por el gobierno y motivados financieramente asociados con Rusia y China continúan explotando este día n en operaciones dispares», dijo Google Threat Intelligence Group (GTIG) en un comunicado.
«El método de explotación consistente, una falla de recorrido de ruta que permite que los archivos se coloquen en la carpeta de inicio de Windows para su persistencia, resalta las brechas de defensa en la seguridad básica de las aplicaciones y la concienciación del usuario».
La vulnerabilidad en cuestión es CVE-2025-8088 (puntuación CVSS: 8,8) y se parchó en la versión 7.13 de WinRAR lanzada el 30 de julio de 2025. La explotación exitosa de esta falla podría permitir a un atacante ejecutar código arbitrario creando un archivo malicioso que se abre con una versión vulnerable del programa.
ESET, que descubrió e informó esta falla de seguridad, dijo que observó que un grupo financiero y de espionaje de doble amenaza conocido como RomCom (también conocido como CIGAR o UNC4895) aprovechó esta falla como día cero el 18 de julio de 2025 para distribuir una variante del malware SnipBot (también conocido como NESTPACKER). Vale la pena señalar que Google está rastreando un grupo de amenazas detrás de las implementaciones de Cuba Ransomware con el nombre UNC2596.
Desde entonces, esta vulnerabilidad ha sido ampliamente explotada, con cadenas de ataque que normalmente ocultan un archivo malicioso como un acceso directo de Windows (LNK) dentro del flujo de datos alternativo (ADS) de un archivo señuelo dentro de un archivo, lo que hace que la carga útil se extraiga a una ruta específica (como la carpeta de inicio de Windows) y se ejecute automáticamente cuando el usuario inicia sesión en la máquina después de reiniciar.
Algunos de los otros actores de amenazas rusos que se han sumado a la tendencia de explotar incluyen:
Sandworm (también conocido como APT44 y FROZENBARENTS) aprovecha esta falla para soltar un archivo señuelo con un nombre de archivo ucraniano y un archivo LNK malicioso que intenta descargar más. Gamaredon (también conocido como CARPATHIAN) explota esta falla para atacar a las agencias gubernamentales ucranianas con archivos RAR maliciosos que contienen archivos de aplicaciones HTML (HTA) que actúan como descargadores para la segunda etapa de Turla (también conocido como SUMMIT). El paquete de malware STOCKSTAY utiliza señuelos centrados en operaciones militares y de drones ucranianos
GTIG también anunció que identificó a un atacante con sede en China que utilizó CVE-2025-8088 como arma y entregó Poison Ivy a través de un script por lotes colocado en la carpeta de inicio de Windows. Este script por lotes está configurado para descargar el cuentagotas.
«Los atacantes con motivación financiera también explotaron rápidamente esta vulnerabilidad para desplegar RAT y métodos de robo de información contra objetivos comerciales», añade el informe. Algunos de estos ataques llevaron a la introducción de puertas traseras de control de bots de Telegram y familias de malware como AsyncRAT y XWorm.
En otro incidente destacado por el equipo de inteligencia de amenazas de Google, un grupo cibercriminal conocido por atacar a usuarios en Brasil a través de sitios web bancarios supuestamente distribuyó una extensión maliciosa de Chrome que podía inyectar JavaScript en páginas de dos sitios bancarios brasileños para ofrecer contenido de phishing y robar credenciales.
Se considera que la explotación generalizada de esta falla es el resultado de una próspera economía clandestina, y las vulnerabilidades de WinRAR se anuncian por miles de dólares. Uno de esos proveedores, ‘zeroplayer’, vendió el exploit WinRAR casi al mismo tiempo en las semanas previas a la publicación de CVE-2025-8088.
«La actividad continua de Zeroplayer como proveedor de exploits resalta la continua mercantilización del ciclo de vida del ataque», dijo GTIG. «Al proporcionar una funcionalidad lista para usar, los atacantes como zeroplayer reducen la complejidad técnica y las demandas de recursos de los actores de amenazas, permitiendo a grupos con diversas motivaciones (…) aprovechar un conjunto diverso de capacidades».
Este desarrollo se produce cuando otra vulnerabilidad de WinRAR (CVE-2025-6218, puntuación CVSS: 7,8) también ha sido explotada por múltiples actores de amenazas, incluidos GOFFEE, Bitter y Gamaredon, destacando la amenaza que plantea la vulnerabilidad del día N.
Source link
