Nueva campaña cibernética explota vulnerabilidad crítica en WinRAR.
Nueva campaña cibernética explota vulnerabilidad crítica en WinRAR.
Seguridad

Descubren phishing activo que utiliza WinRAR para robar información

ESET identificó una campaña que con la excusa de ser documentos de solicitud de empleo en formato WinRAR ocultan archivos maliciosos en un archivo comprimido, que se despliegan silenciosamente al extraerlo. La misma apunta principalmente a empresas financieras, de fabricación, defensa y logística.

Photo of Redacción de ITSitio Redacción de ITSitio Send an email 13 de agosto de 2025
3 minutos de lectura

El equipo de investigación de ESET descubrió una vulnerabilidad de zero-day (una nueva vulnerabilidad previamente desconocida) en WinRAR que está siendo explotada bajo la apariencia de documentos de solicitud de empleo. Esta campaña está siendo dirigida por el grupo RomCom, alineado con Rusia, y está dirigida a empresas financieras, de fabricación, defensa y logística de Europa y Canadá.

“Se recomienda a los usuarios de WinRAR que instalen la última versión lo antes posible para mitigar el riesgo. Además, es importante tener en cuenta que las soluciones de software que dependen de versiones de Windows disponibles públicamente de UnRAR.dll o su código fuente correspondiente también están afectadas, especialmente aquellas que no han actualizado sus dependencias”, comenta Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.

WinRAR, el popular software de compresión, fue afectado por una vulnerabilidad de día cero que permitió ataques dirigidos a empresas en Europa y Canadá.
WinRAR, el popular software de compresión, fue afectado por una vulnerabilidad de día cero que permitió ataques dirigidos a empresas en Europa y Canadá.

Puntos clave de este hallazgo de ESET

  • Si se utiliza WinRAR u otros componentes afectados, como las versiones para Windows de sus utilidades de línea de comandos, UnRAR.dll o el código fuente portable de UnRAR, es importante actualizarlos inmediatamente a la última versión.
  • El 18 de julio de 2025, el equipo de ESET descubrió una vulnerabilidad de día cero, desconocida hasta entonces, que estaba siendo explotada en WinRAR.
  • El análisis del exploit llevó al descubrimiento de una vulnerabilidad de path traversal, posible gracias al uso de flujos de datos alternativos.
  • Tras una notificación inmediata, WinRAR publicó una versión parcheada el 30 de julio de 2025.
  • La vulnerabilidad permite ocultar archivos maliciosos en un archivo comprimido, que se despliegan silenciosamente al extraerlo.
  • Esta campaña se dirigió a empresas financieras, de fabricación, defensa y logística de Europa y Canadá.
El grupo RomCom distribuyó archivos RAR con nombres como “Eli_Rosenfeld_CV2” para engañar a las víctimas y ejecutar malware al momento de extraerlos.
El grupo RomCom distribuyó archivos RAR con nombres como “Eli_Rosenfeld_CV2” para engañar a las víctimas y ejecutar malware al momento de extraerlos.

El equipo de investigación de ESET identificó una vulnerabilidad en WinRAR que está siendo explotada por el grupo RomCom. Este grupo (también conocido como Storm-0978, Tropical Scorpius o UNC2596) está alineado con Rusia y lleva a cabo tanto campañas oportunistas contra determinados sectores empresariales como operaciones de espionaje selectivo. El enfoque del grupo ha cambiado para incluir operaciones de espionaje que recopilan inteligencia, en paralelo con sus operaciones de ciberdelincuencia más convencionales.

Publicaciones relacionadas

El backdoor utilizado habitualmente por el grupo es capaz de ejecutar comandos y descargar módulos adicionales en la máquina de la víctima. Esta es al menos la tercera vez que RomCom ha sido descubierto explotando alguna vulnerabilidad importante de zero-day. Los ejemplos anteriores incluyen una de Microsoft Word en junio de 2023, y las vulnerabilidades dirigidas a versiones vulnerables de Firefox, Thunderbird y el navegador Tor, en octubre de 2024.

El equipo de ESET identificó un archivo RAR que contenía rutas inusuales que llamaron su atención. Tras un análisis más detallado, descubrió que los atacantes estaban explotando una vulnerabilidad desconocida hasta entonces que afectaba a WinRAR. Al confirmarlo, se pusieron en contacto con el desarrollador de WinRAR y, ese mismo día, se corrigió la vulnerabilidad y se publicó la actualización WinRAR 7.13 beta 1. WinRAR 7.13, el 30 de julio de 2025.

Los ataques se disfrazaban como solicitudes de empleo con archivos adjuntos maliciosos, una técnica clásica de spearphishing.
Los ataques se disfrazaban como solicitudes de empleo con archivos adjuntos maliciosos, una técnica clásica de spearphishing.

Los atacantes crearon especialmente el archivo que adjuntaban a los correos para que en apariencia sólo contuviera un archivo benigno, mientras que contiene muchos ADS maliciosos (aunque no hay indicación de ellos desde el punto de vista del usuario).

Una vez que la víctima abre este archivo aparentemente benigno, WinRAR lo desempaqueta junto con todos sus ADS. Por ejemplo, para Eli_Rosenfeld_CV2 – Copy (10).rar, se despliega una DLL maliciosa en %TEMP%. Del mismo modo, se despliega un archivo LNK malicioso en el directorio de inicio de Windows, con lo que se consigue la persistencia mediante la ejecución en el inicio de sesión del usuario.

Según la telemetría de ESET, estos archivos se utilizaron en campañas de spearphishing (tipo de ataque de phishing dirigido a puntos específicos, con el objetivo de obtener información confidencial o acceso a sistemas) del 18 al 21 de julio de 2025, dirigidas a empresas financieras, de fabricación, defensa y logística de Europa y Canadá. En todos los casos, los atacantes enviaron un CV con la esperanza de que un objetivo curioso lo abriera. Según la telemetría de ESET, ninguno de los objetivos se vio comprometido.

La detección temprana de vulnerabilidades y la actualización constante de software son claves para prevenir ataques cibernéticos cada vez más sofisticados.
La detección temprana de vulnerabilidades y la actualización constante de software son claves para prevenir ataques cibernéticos cada vez más sofisticados.

“Al explotar una vulnerabilidad de zero-day previamente desconocida en WinRAR, el grupo RomCom ha demostrado que está dispuesto a invertir grandes esfuerzos y recursos en sus ciberoperaciones. Esta es al menos la tercera vez que RomCom utiliza una vulnerabilidad de zero-day in the wild, lo que pone de manifiesto su constante interés en adquirir y utilizar exploits para ataques selectivos», comenta Anton Cherepanov, Senior Malware Researcher de ESET y parte del equipo que llevó adelante la investigación.

Y concluye: «La campaña descubierta se dirigió a sectores que coinciden con los intereses típicos de los grupos APT alineados con Rusia, lo que sugiere una motivación geopolítica detrás de la operación. Queremos agradecer al equipo de WinRAR su cooperación y rápida respuesta, y reconocer su esfuerzo por publicar un parche en tan sólo un día”.

Leer más

Autor

Etiquetas
Photo of Redacción de ITSitio Redacción de ITSitio Send an email 13 de agosto de 2025
3 minutos de lectura
[mdx-adserve-bstreet region="MED"]
Photo of Redacción de ITSitio

Redacción de ITSitio

Publicaciones relacionadas

La inteligencia artificial borra los límites entre lo real y lo falso.

Advierten que los deepfakes han pasado de ser una curiosidad digital a convertirse en una sofisticada herramienta de fraude en tiempo real

Por una identidad digital segura en Latinoamérica.

Jumio anuncia el Identity Intelligence Tour para concientizar sobre los riesgos de fraudes en Latinoamérica

IA en Latinoamérica. Avance acelerado y alto riesgo.

Paradoja crítica en la adopción de IA en Latinoamérica: crecimiento acelerado y temor a sus propios riesgos

El phishing lidera los fraudes digitales en Colombia.

Phishing representa el 70% de los ataques en Colombia y países vecinos

[mdx-adserve-bstreet region="BOTTOM"]
Botón volver arriba