¿Abriste un archivo WinRAR? Felicidades, el virus ya está en tu Windows

Una vulnerabilidad recientemente corregida en WinRAR, identificada como CVE-2025-8088, fue utilizada en ataques de phishing dirigidos antes de que se publicara el parche. El fallo pertenecía a la categoría de Directory Traversal y solo se solucionó en la versión WinRAR 7.13. Permitía a un atacante crear archivos comprimidos especiales que, al descomprimirse, colocaban los ficheros no en la carpeta seleccionada por el usuario, sino en un directorio definido por el atacante. Este mecanismo abría la puerta a evadir las restricciones estándar e inyectar código malicioso en directorios críticos de Windows.

A diferencia del escenario habitual, donde la extracción se realiza en una ubicación predefinida, la vulnerabilidad permitía manipular la ruta para redirigir el contenido hacia las carpetas de inicio automático del sistema operativo. Entre estas se incluyen la carpeta de inicio del usuario específico (%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup) y la de inicio automático del sistema para todas las cuentas (%ProgramData%\Microsoft\Windows\Start Menu\Programs\StartUp). Al siguiente inicio de sesión, cualquier archivo ejecutable colocado allí mediante la vulnerabilidad se ejecutaba automáticamente, otorgando al atacante la capacidad de ejecutar código remoto sin intervención de la víctima.

El problema afectaba únicamente a las versiones para Windows de WinRAR, RAR, UnRAR, sus versiones portátiles y la biblioteca UnRAR.dll. Las versiones para plataformas Unix, Android y los códigos fuente correspondientes no presentaban esta vulnerabilidad.

El riesgo se agravaba por el hecho de que WinRAR no cuenta con función de actualización automática. Los usuarios que no supervisan las nuevas versiones podían permanecer en riesgo durante meses sin saberlo. Los desarrolladores recomiendan encarecidamente descargar e instalar manualmente WinRAR 7.13 desde el sitio oficial win-rar.com para evitar la explotación de este fallo.

La vulnerabilidad fue descubierta por los especialistas de ESET Anton Cherepanov, Peter Kocinár y Peter Stríček. Este último confirmó que se utilizó en campañas reales de phishing para instalar el malware RomCom. En los ataques se enviaban correos electrónicos con archivos RAR adjuntos que contenían el exploit de CVE-2025-8088.

RomCom es un grupo también conocido como Storm-0978, Tropical Scorpius o UNC2596. Se especializa en ataques con ransomware, robo de datos y extorsión, así como en campañas de sustracción de credenciales. En su arsenal dispone de malware propio para mantener presencia prolongada en los sistemas, robar información y crear puertas traseras que permiten acceso encubierto a los dispositivos infectados.

El grupo es conocido por utilizar activamente vulnerabilidades de día cero en sus ataques y por colaborar con otras operaciones de ransomware, como Cuba e Industrial Spy. La campaña actual que explota la vulnerabilidad de WinRAR es otro ejemplo de cómo RomCom combina métodos de intrusión técnicamente complejos con ingeniería social para superar defensas e infiltrarse en redes corporativas.

ESET ya está preparando un informe detallado sobre lo sucedido, que incluirá una descripción exhaustiva de los métodos de explotación y los aspectos técnicos de los ataques detectados.