Detección CVE-2025-8088: Zero-Day de WinRAR explotado para instalar malware RomCom
Tabla de contenidos:
Mientras el verano alcanza su punto máximo, el panorama de amenazas cibernéticas se calienta con la misma rapidez. Tras la reciente divulgación de CVE-2025-8292, una vulnerabilidad use-after-free en Media Stream de Chrome, los investigadores de seguridad han descubierto la explotación activa de un novedoso zero-day en WinRAR para la entrega del malware RomCom.
Identificada como CVE-2025-8088, esta vulnerabilidad de path traversal en la versión para Windows de WinRAR permite a los atacantes ejecutar código arbitrario mediante la creación de archivos de archivo maliciosos. Aunque los métodos exactos y los actores detrás de la campaña siguen siendo desconocidos, el uso del backdoor RomCom sugiere posible implicación de grupos hackers de origen ruso.
Detectar intentos de explotación de CVE-2025-8088 para la entrega de RomCom
Con más de 29,000 nuevas vulnerabilidades registradas por NIST este año, la carrera para los equipos de ciberseguridad está en marcha. Aunque la explotación de vulnerabilidades sigue siendo el vector de ataque principal y las amenazas cibernéticas se vuelven más sofisticadas, la detección proactiva es esencial para reducir la superficie de ataque y mitigar riesgos.
Regístrese ahora en la plataforma SOC Prime para acceder a una extensa biblioteca de reglas de detección enriquecidas con contexto e inteligencia de amenazas impulsada por IA, que le ayudarán a mantenerse un paso adelante de los ataques que aprovechan vulnerabilidades emergentes. La plataforma ofrece detecciones curadas que abordan la última explotación zero-day de WinRAR para la entrega de RomCom, respaldada por una suite completa de productos para ingeniería de detección impulsada por IA, caza automática de amenazas y detección avanzada. Haga clic en el botón Explorar detecciones a continuación para explorar el conjunto de detecciones relevante.
Los defensores cibernéticos también pueden navegar por el Threat Detection Marketplace usando las etiquetas “RomCom” y “CVE-2025-8088” para contenido más específico. Para explorar un conjunto más amplio de reglas relacionadas con la explotación de vulnerabilidades, simplemente aplique la etiqueta “CVE” para ver toda la colección.
Adicionalmente, los expertos en seguridad pueden optimizar la investigación de amenazas utilizando Uncoder AI, un IDE privado y copiloto para ingeniería de detección informada por amenazas. Genere algoritmos de detección a partir de informes de amenazas en bruto, habilite barridos rápidos de IOC, prediga etiquetas ATT&CK, optimice el código de consultas con consejos de IA y tradúzcalo entre múltiples lenguajes SIEM, EDR y Data Lake. Por ejemplo, los profesionales de seguridad pueden usar el último artículo de Bleeping Computer sobre CVE-2025-8088 para generar un diagrama de flujo de ataque en unos pocos clics.
Análisis de CVE-2025-8088
Los investigadores de seguridad han descubierto que la vulnerabilidad de WinRAR, identificada como CVE-2025-8088, fue explotada activamente como zero-day en campañas de phishing dirigidas para propagar el malware RomCom. Esta falla de path traversal afecta la versión de WinRAR para Windows y permite a los atacantes ejecutar código arbitrario mediante la creación de archivos de archivo maliciosos.
Según el aviso oficial, las versiones anteriores de WinRAR (incluyendo Windows RAR, UnRAR, el código fuente portable de UnRAR y UnRAR.dll) podían ser engañadas durante la extracción de archivos para usar una ruta maliciosamente manipulada en lugar de la prevista. Esto permite a los atacantes colocar archivos en ubicaciones no autorizadas.
Específicamente, los actores maliciosos pueden crear archivos de archivo que extraen ejecutables maliciosos en carpetas de autorun, como la carpeta específica del usuario %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup
o la carpeta de máquina completa %ProgramData%\Microsoft\Windows\Start Menu\Programs\StartUp
. Esto permite que el malware se ejecute automáticamente la próxima vez que el usuario inicie sesión, facilitando a los atacantes la ejecución remota de código para la instalación del backdoor RomCom.
Cabe destacar que las versiones Unix de RAR, UnRAR, el código fuente portable de UnRAR, la biblioteca UnRAR y RAR para Android no están afectadas por esta vulnerabilidad.
La familia de malware RomCom está vinculada a un colectivo hacker de origen ruso, conocido por varios alias, incluidos UAT-5647, Storm-0978, Tropical Scorpius, UAC-0180 y UNC2596. Se cree que este grupo también está detrás de las operaciones del infame ransomware Cuba. Conocidos por sus técnicas avanzadas de hacking, han estado activos al menos desde 2019 y son notorios por desplegar varias familias de malware, incluyendo RomCom RAT y SystemBC. En 2022, actores de amenaza usaron el backdoor RomCom para atacar organismos estatales ucranianos, lo que indica posibles vínculos con operaciones de ciberespionaje en favor del gobierno de Moscú.
La vulnerabilidad fue descubierta por los investigadores de ESET Anton Cherepanov, Peter Košinár y Peter Strýček, quienes la reportaron al fabricante. El problema fue solucionado en la versión 7.13 de WinRAR, lanzada el 30 de julio de 2025, por lo que se recomienda a los usuarios actualizar cuanto antes a esta versión segura. Además, para adelantarse a los atacantes y detectar de forma proactiva posibles intentos de explotación, los equipos de seguridad pueden confiar en la suite completa de productos de SOC Prime respaldada por IA, capacidades de automatización e inteligencia de amenazas en tiempo real, fortaleciendo las defensas organizacionales a gran escala.