Una vulnerabilidad de WinRAR recientemente corregida rastreada como CVE-2025-8088 fue explotada como un día cero en ataques de phishing para instalar el malware RomCom. Como WinRAR no incluye una función de actualización automática, se recomienda que todos los usuarios descarguen e instalen manualmente la última versión de win-rar.com para que estén protegidos de esta vulnerabilidad. Estos archivos explotaron el CVE-2025-8088 para ofrecer puertas traseras de RomCom. RomCom es un grupo alineado con Rusia.
RomCom (también rastreado como Storm-0978, Tropical Scorpius o UNC2596) es un grupo de piratas informáticos rusos vinculado a ataques de ransomware y extorsión de robo de datos, junto con campañas centradas en el robo de credenciales.
El grupo es conocido por su uso de vulnerabilidades de día cero en ataques y el uso de malware personalizado para su uso en ataques de robo de datos, persistencia y para actuar como puertas traseras.
A continuación, compartimos IoC para ser agregados a las herramientas de seguridad perimetral.
EL ATAQUE
La falla corresponde a una vulnerabilidad de cruce de directorios corregida en WinRAR 7.13, la cual permite que un archivo especialmente diseñado extraiga contenido en una ruta elegida por el atacante, en lugar de la seleccionada por el usuario.
En versiones anteriores de WinRAR, así como en las versiones para Windows de RAR, UnRAR, el código fuente portátil de UnRAR y la biblioteca UnRAR.dll, era posible engañar al programa para que utilizara una ruta definida dentro del archivo malicioso.
Aprovechando esta debilidad, un atacante puede crear archivos que extraigan ejecutables directamente en rutas de ejecución automática del sistema.
La próxima vez que un usuario inicie sesión, el ejecutable se ejecutará sin intervención, lo que posibilita la ejecución remota de código y potencialmente compromete el sistema afectado.
