Investigadores de ESET han descubierto una vulnerabilidad previamente desconocida en WinRAR que está siendo explotada activamente por el grupo RomCom, alineado con Rusia. Este hallazgo marca al menos la tercera vez que se detecta a RomCom utilizando una vulnerabilidad de día cero significativa en el entorno de amenazas. Sus anteriores ataques incluyeron la utilización de la vulnerabilidad CVE-2023-36884 a través de Microsoft Word en junio de 2023, y la explotación de vulnerabilidades combinadas CVE‑2024‑9680 y CVE‑2024‑49039, dirigidas a navegadores como Firefox y Thunderbird en octubre de 2024.
El nuevo exploit, descubierto el 18 de julio de 2025, consiste en una vulnerabilidad de recorrido de ruta, ahora conocida como CVE-2025-8088, que permite ocultar archivos maliciosos en un archivo comprimido que son extraídos silenciosamente. Esto ha permitido a los atacantes desplegar puerta traseras, incluyendo variantes de SnipBot y RustyClaw.
La vulnerabilidad fue notificada de inmediato a los desarrolladores de WinRAR, quienes lanzaron rápidamente una versión corregida el 30 de julio de 2025. Utilizar esta falla permite a los atacantes ejecutar su código en las máquinas de las víctimas, lo cual es particularmente preocupante dado que el grupo ha dirigido sus ataques a empresas de sectores como finanzas, manufactura, defensa y logística en Europa y Canadá.
RomCom, también conocido como Storm-0978, Tropical Scorpius o UNC2596, realiza tanto campañas oportunistas contra sectores seleccionados como operaciones de espionaje específicas. Se ha observado que el grupo investiga previamente a sus objetivos, asegurando que los ataques estén dirigidos con precisión.
A medida que se investiga más sobre esta vulnerabilidad, se hace evidente que también ha sido explotada por otro actor de amenazas, lo que indica la naturaleza competitiva en el uso de exploits de días cero en el ciberespacio. En este contexto, RomCom refuerza su notoria tendencia a invertir recursos significativos en sus operaciones cibernéticas, un comportamiento que sugiere motivaciones geopolíticas detrás de sus actividades.
Fuente: WeLiveSecurity by eSet.
