**Cibercriminales explotaron la vulnerabilidad CVE-2025-8088 de WinRAR en campañas de phishing para distribuir RomCom**

—

### Introducción

En las últimas semanas, se ha detectado una campaña de ataques dirigida a usuarios de Windows que explota una vulnerabilidad crítica en WinRAR, identificada como CVE-2025-8088. Esta brecha de seguridad, corregida recientemente por RARLAB, fue utilizada como zero-day en campañas de phishing para instalar el malware RomCom, una amenaza avanzada asociada a robo de credenciales, espionaje y movimientos laterales en entornos corporativos. El incidente subraya la importancia de la gestión proactiva de vulnerabilidades y la actualización constante de aplicaciones ampliamente utilizadas.

—

### Contexto del Incidente o Vulnerabilidad

WinRAR, con más de 500 millones de instalaciones activas a nivel mundial, es una herramienta fundamental para la compresión y descompresión de archivos en entornos tanto domésticos como empresariales. Sin embargo, su popularidad también la convierte en un objetivo prioritario para actores maliciosos. La vulnerabilidad CVE-2025-8088 afecta a versiones de WinRAR anteriores a la 6.24, permitiendo la ejecución remota de código cuando un usuario interactúa con un archivo especialmente manipulado.

Desde finales de 2023 y durante el primer trimestre de 2024, diversos grupos de amenazas han aprovechado esta debilidad para comprometer sistemas mediante correos electrónicos de phishing que distribuyen archivos comprimidos maliciosos. Investigadores de seguridad han vinculado varios de estos incidentes con la difusión de RomCom, un malware conocido por su capacidad para robar información y establecer persistencia en redes empresariales.

—

### Detalles Técnicos (CVE, vectores de ataque, TTP MITRE ATT&CK, IoC…)

**Identificador:** CVE-2025-8088
**CVSS:** 7.8 (Alta)
**Versiones afectadas:** WinRAR < 6.24

La vulnerabilidad reside en la forma en la que WinRAR maneja ciertos nombres de archivo y rutas dentro de archivos comprimidos, permitiendo la ejecución arbitraria de código cuando el usuario extrae o visualiza archivos especialmente diseñados. El vector de ataque más común implica el envío de archivos RAR adjuntos a correos electrónicos de phishing, acompañados de instrucciones engañosas para que la víctima los abra.

**Tácticas y Técnicas (MITRE ATT&CK):**
– **Initial Access (TA0001):** Phishing (T1566)
– **Execution (TA0002):** User Execution (T1204)
– **Defense Evasion (TA0005):** Masquerading (T1036)
– **Persistence (TA0003):** Registry Run Keys/Startup Folder (T1547)
– **Command and Control (TA0011):** Application Layer Protocol (T1071)

**Indicadores de Compromiso (IoC):**
– Hashes de archivos maliciosos vinculados a RomCom
– Dominios y direcciones IP asociados a la infraestructura C2 del malware
– Rutas y nombres de archivos sospechosos generados tras la explotación

Los atacantes han empleado herramientas como Metasploit y frameworks de ataque personalizados para explotar la vulnerabilidad y desplegar cargas útiles cifradas, dificultando la detección por parte de soluciones antivirus tradicionales.

—

### Impacto y Riesgos

El impacto de la explotación de CVE-2025-8088 es significativo, especialmente en entornos corporativos. La ejecución remota de código permite a los atacantes tomar el control del sistema comprometido, desplegar malware adicional, exfiltrar datos sensibles y establecer persistencia. Según informes de diversos CERTs europeos, se estima que hasta un 15% de los sistemas Windows que no habían aplicado la actualización de WinRAR fueron potencialmente vulnerables durante el periodo de explotación activa.

RomCom, el malware principal distribuido en estas campañas, ha sido vinculado a ataques dirigidos a sectores críticos como finanzas, tecnología y administración pública. Las consecuencias pueden ir desde el robo de credenciales y secretos corporativos hasta la interrupción operativa y el incumplimiento de normativas como GDPR y NIS2, con el consiguiente riesgo de sanciones económicas.

—

### Medidas de Mitigación y Recomendaciones

RARLAB publicó WinRAR 6.24 que corrige CVE-2025-8088, por lo que la actualización inmediata es la principal medida de mitigación. Adicionalmente, se recomienda:

– Revisar los sistemas en busca de versiones antiguas de WinRAR y aplicar parches de seguridad.
– Desplegar soluciones EDR y actualizar firmas de antivirus para detectar variantes de RomCom y actividades asociadas.
– Restringir la ejecución de archivos adjuntos desconocidos y reforzar la formación en concienciación frente al phishing.
– Monitorizar logs de correo y endpoints en busca de IoCs relacionados.
– Segmentar la red para limitar el movimiento lateral en caso de compromiso inicial.

—

### Opinión de Expertos

Expertos en ciberseguridad, como los equipos de análisis de Kaspersky y Mandiant, coinciden en que la explotación de aplicaciones de uso masivo mediante zero-days seguirá siendo una tendencia creciente en 2024. “La rápida adopción de exploits en la cadena de infección demuestra la profesionalización de los grupos de amenazas y la necesidad de reducir la ventana de exposición”, señala Eva Martínez, analista principal de amenazas en una consultora europea. Asimismo, recomiendan evaluar la exposición de software legacy y priorizar el despliegue de parches críticos, especialmente en aplicaciones que manipulan archivos de terceros.

—

### Implicaciones para Empresas y Usuarios

El incidente pone de manifiesto la necesidad de mantener actualizada toda la base de software, incluidas utilidades aparentemente inocuas como WinRAR. Para las empresas, la falta de gestión proactiva de vulnerabilidades puede traducirse en brechas de datos, pérdida de confianza y sanciones regulatorias. Para los usuarios, especialmente aquellos que gestionan información sensible, la concienciación frente al phishing y la verificación de la autenticidad de los archivos recibidos es esencial para evitar compromisos.

Además, la presión regulatoria por parte de GDPR y NIS2 obliga a las organizaciones a reportar incidentes de seguridad y documentar las acciones correctivas, por lo que la monitorización y respuesta temprana ante amenazas es una exigencia estratégica.

—

### Conclusiones

La explotación de CVE-2025-8088 en WinRAR para distribuir RomCom ilustra cómo una vulnerabilidad en una herramienta ampliamente utilizada puede tener un impacto masivo y transversal. La rápida reacción de RARLAB y la colaboración de la comunidad de ciberseguridad han sido clave para contener la amenaza, pero el episodio subraya la importancia de la actualización constante, la gestión de vulnerabilidades y la formación continua frente a técnicas de ingeniería social cada vez más sofisticadas.

(Fuente: www.bleepingcomputer.com)