SOC Prime Bias: Crítico

28 Ene 2026 16:07
newspaper icon Blog de Google Cloud

CVE-2025-8088: Actores de Amenazas Diversos Explotan una Falla Crítica en WinRAR

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Seguir
CVE-2025-8088: Actores de Amenazas Diversos Explotan una Falla Crítica en WinRAR
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Resumen

El Grupo de Inteligencia de Amenazas de Google informa sobre una explotación generalizada de CVE-2025-8088, una vulnerabilidad de recorrido de ruta de alta severidad en WinRAR. Los adversarios lo utilizan para colocar archivos maliciosos en la carpeta de Inicio de Windows para obtener persistencia. Tanto los grupos patrocinados por el estado como los motivados financieramente están aprovechando la explotación para entregar RATs, descargadores y cargas posteriores. El informe comparte indicadores además de orientación para la detección y mitigación.

Investigación

Los investigadores vincularon a varios actores—UNC4895, APT44, Turla y un grupo con sede en la RPC—a archivos RAR personalizados que abusan de Corrientes de Datos Alternativas (ADS) para soltar archivos LNK, HTA o BAT en Inicio. Algunos archivos archivados prepararon manejadores LNK que lanzan HTA o BAT al iniciar sesión. Las familias de malware observadas incluyen NESTPACKER, POISONIVY, XWorm y AsyncRAT. Infraestructura compartida y código de explotación reutilizado apareció en campañas dirigidas a Ucrania y otras regiones.

Mitigación

Actualizar WinRAR a 7.13+ y aplicar listas de aplicaciones permitidas. Reducir la exposición a ADS donde sea posible y monitorear la carpeta de Inicio en busca de nuevos archivos LNK, HTA, BAT o scripts. Aplicar Google Safe Browsing y controles de seguridad de correo electrónico para detener archivos maliciosos temprano.

Respuesta

Detectar la creación de archivos en el camino de Inicio ligada a la extracción de RAR, especialmente accesos directos y scripts. Correlacionar alertas con nombres de archivos y hashes conocidos, poner en cuarentena los hosts afectados, confirmar la familia de malware, y eliminar la persistencia de Inicio durante la respuesta al incidente.

«graph TB %% Class definitions classDef technique fill:#99ccff classDef file fill:#ffcc99 classDef process fill:#ccffcc classDef tool fill:#cccccc %% Node definitions tech_phishing[«<b>Técnica</b> – <b>T1566.001 Adjunto de Spearphishing</b><br/>El adversario envía un correo electrónico dirigido con un archivo RAR malicioso»] class tech_phishing technique file_rar[«<b>Archivo</b> – <b>Nombre</b>: malicious.rar<br/>Contiene PDF señuelo y carga útil ADS»] class file_rar file tech_user_exec[«<b>Técnica</b> – <b>T1204.002 Ejecución de Usuario</b><br/>La víctima abre RAR causando extracción»] class tech_user_exec technique file_ads[«<b>Archivo</b> – <b>Tipo</b>: Corriente de Datos Alternativa (ADS)<br/>Carga útil: innocuous.pdf:malicious.lnk»] class file_ads file tech_exploit[«<b>Técnica</b> – <b>T1203 Explotación para Ejecución de Cliente</b><br/>Usa el recorrido de ruta CVE-2025-8088 para escribir .lnk»] class tech_exploit technique file_lnk[«<b>Archivo</b> – <b>Nombre</b>: malicious.lnk<br/>Colocado en la carpeta de Inicio de Windows»] class file_lnk file tech_persistence[«<b>Técnica</b> – <b>T1547.009 Modificación de Atajos</b><br/>El atajo en Inicio proporciona persistencia»] class tech_persistence technique tech_cmd[«<b>Técnica</b> – <b>T1059.003 Shell de Comandos</b><br/>Scripts por lotes o .cmd descargan cargas útiles adicionales»] class tech_cmd technique tool_ratrat[«<b>Herramienta</b> – <b>Nombre</b>: XWorm / AsyncRAT<br/>Troyano de acceso remoto»] class tool_ratrat tool tech_mshta[«<b>Técnica</b> – <b>T1218.005 Ejecución de Proxy Mshta</b><br/>Archivos HTA lanzados mediante mshta.exe»] class tech_mshta technique file_hta[«<b>Archivo</b> – <b>Nombre</b>: payload.hta<br/>Ejecutado con mshta»] class file_hta file process_mshta[«<b>Proceso</b> – <b>Nombre</b>: mshta.exe<br/>Ejecuta archivo HTA»] class process_mshta process %% Connections showing attack flow tech_phishing u002du002d>|entrega| file_rar file_rar u002du002d>|extraído por| tech_user_exec tech_user_exec u002du002d>|crea| file_ads file_ads u002du002d>|usado por| tech_exploit tech_exploit u002du002d>|escribe| file_lnk file_lnk u002du002d>|habilita| tech_persistence tech_persistence u002du002d>|desencadena| tech_cmd tech_cmd u002du002d>|descarga| tool_ratrat tech_cmd u002du002d>|suelta| file_hta tech_cmd u002du002d>|lanza| tech_mshta tech_mshta u002du002d>|ejecuta| file_hta file_hta u002du002d>|ejecutado por| process_mshta process_mshta u002du002d>|ejecuta| tech_mshta «

Flujo de Ataque

Ejecución de Simulación

Prerrequisito: La Verificación Previa de Telemetría y Línea de Base debe haber pasado.

Justificación: Esta sección detalla la ejecución precisa de la técnica del adversario (TTP) diseñada para activar la regla de detección. Los comandos y narrativas DEBEN reflejar directamente los TTP identificados y apuntar a generar la telemetría exacta esperada por la lógica de detección.

  • Narrativa del Ataque y Comandos:
    Un atacante elabora un archivo RAR malicioso que incrusta un acceso directo de Windows (malicious.lnk) como una Corriente de Datos Alternativa adjunta a un PDF de apariencia inocente (innocuous.pdf). Aprovechando CVE‑2025‑8088, el atacante sabe que WinRAR extraerá el ADS directamente en la ruta de destino sin sanitizar el nombre de la corriente. El archivo es entregado a la máquina de la víctima (por ejemplo, a través de phishing). El atacante luego ejecuta WinRAR en modo silencioso para extraer la carga directamente en la carpeta de Inicio del usuario actual, logrando persistencia.

    1. Crear la carga LNK maliciosa (un acceso directo que lanza cmd.exe /c calc.exe).
    2. Adjuntar el LNK como un ADS a innocuous.pdf dentro del RAR.
    3. Entregar el RAR a la víctima.
    4. Ejecutar extracción de WinRAR en el directorio de Inicio.

  • Script de Prueba de Regresión:

    # --------------------------------------------------------------
# Script de PowerShell para simular persistencia LNK-ADS CVE‑2025‑8088
# --------------------------------------------------------------

# 1. Variables
$tempDir      = "$envTEMPLNK_ADS_Test"
$pdfPath      = "$tempDirinnocuous.pdf"
$lnkPath      = "$tempDirmalicious.lnk"
$rarPath      = "$tempDirmalicious.rar"
$startupPath  = "$envAPPDATAMicrosoftWindowsStart MenuProgramsStartup"

# Asegurar un espacio de trabajo limpio
Remove-Item -Recurse -Force $tempDir -ErrorAction SilentlyContinue
New-Item -ItemType Directory -Path $tempDir | Out-Null

# 2. Crear un PDF ficticio (archivo vacío funciona para demostración de ADS)
New-Item -ItemType File -Path $pdfPath | Out-Null

# 3. Crear LNK malicioso apuntando a calculadora
$ws = New-Object -ComObject WScript.Shell
$shortcut = $ws.CreateShortcut($lnkPath)
$shortcut.TargetPath = "calc.exe"
$shortcut.WindowStyle = 1
$shortcut.Save()

# 4. Empaquetar PDF y adjuntar LNK como ADS usando CLI de WinRAR
#    La sintaxis crea un ADS llamado "malicious.lnk" adjunto al PDF.
& "C:Program FilesWinRARWinRAR.exe" a -df $rarPath $pdfPath "$lnkPath:malicious.lnk"

# 5. Extraer RAR directamente a la carpeta de Inicio (modo silencioso)
& "C:Program FilesWinRARWinRAR.exe" x -inul $rarPath $startupPath

# 6. Verificar que el LNK ahora exista en Inicio (será visible como un .lnk regular)
$extractedLnk = Join-Path $startupPath "malicious.lnk"
if (Test-Path $extractedLnk) {
    Write-Host "[+] Acceso directo malicioso desplegado en Inicio: $extractedLnk"
} else {
    Write-Error "[-] Acceso directo no encontrado – la extracción puede haber fallado."
}

# --------------------------------------------------------------
# Fin del script
# --------------------------------------------------------------

  • Comandos de Limpieza:

    # Eliminar el acceso directo malicioso de Inicio
$lnk = "$envAPPDATAMicrosoftWindowsStart MenuProgramsStartupmalicious.lnk"
if (Test-Path $lnk) { Remove-Item -Force $lnk }

# Eliminar archivos y directorios temporales
$temp = "$envTEMPLNK_ADS_Test"
if (Test-Path $temp) { Remove-Item -Recurse -Force $temp }

Fin del Informe

Únete a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para tu negocio. Para ayudarte a comenzar y obtener valor inmediato, programa una reunión ahora con los expertos de SOC Prime.

Únete gratis