Hackers continúan explotando una vulnerabilidad ya parcheada en WinRAR para comprometer sistemas. Tanto atacantes respaldados por estados como aquellos con motivaciones financieras están utilizando esta brecha de seguridad a gran escala.
Una grave vulnerabilidad de seguridad en WinRAR, identificada como CVE-2025-8088, está siendo explotada activamente por diversos ciberdelincuentes y actores estatales, a pesar de que el problema fue solucionado mediante un parche desde julio. Así lo informa el equipo de Threat Intelligence de Google. Hackers rusos han estado siguiendo la vulnerabilidad de WinRAR desde el verano.
La vulnerabilidad permite a los atacantes colocar archivos en la carpeta de inicio de Windows, lo que les otorga acceso persistente al sistema. Las vulnerabilidades en WinRAR son particularmente peligrosas porque pueden eludir la seguridad integrada de Windows, como se explica.
Acceso a través de rutas de archivos ocultas
La vulnerabilidad permite a los atacantes escribir archivos en ubicaciones no deseadas a través de flujos de datos alternativos. A menudo, estos se ocultan dentro de un archivo de archivo que contiene un documento aparentemente inofensivo, mientras que en segundo plano se coloca un archivo malicioso en la carpeta que ejecuta automáticamente programas al inicio de Windows. Este método no requiere ninguna interacción del usuario más allá de abrir el archivo RAR en una versión vulnerable de WinRAR.
RARLAB, el desarrollador de WinRAR, lanzó una actualización (versión 7.13) el 30 de julio de 2025 que corrige el problema. Sin embargo, las observaciones de Google indican que muchos sistemas siguen siendo vulnerables debido a la lentitud en la aplicación de las actualizaciones, un fenómeno lamentablemente persistente en el mundo de la tecnología. Se recomienda a los administradores de TI que implementen las actualizaciones de inmediato y monitoreen activamente los sistemas en busca de los métodos de ataque descritos.
lees ook
Beveiligingstip: geef patchen de hoogste prioriteit
Actores estatales y criminales activos
Tanto grupos estatales como criminales están aprovechando esta vulnerabilidad, según Google. Grupos vinculados a Rusia, como UNC4895, APT44 y Turla, se dirigen principalmente a objetivos gubernamentales y militares ucranianos con campañas de phishing personalizadas. Los actores afiliados a China y los hackers con motivaciones financieras son menos selectivos en sus objetivos.
Estas campañas están activas a nivel mundial, advierte Google. Los payloads a menudo se descargan a través de Dropbox o se ocultan en archivos HTML. Google también señala un mercado negro próspero para estos exploits. La comercialización de exploits reduce la barrera de entrada para los atacantes y acelera la propagación.