ESET descubre phishing activo que utiliza WinRAR para robar información
ESET identificó una campaña que con la excusa de ser documentos de solicitud de empleo en formato WinRAR ocultan archivos maliciosos en un archivo comprimido, que se despliegan silenciosamente al extraerlo. La misma apunta principalmente a empresas financieras, de fabricación, defensa y logística.
CIUDAD DE MÉXICO.- El equipo de investigación de ESET, compañía líder en detección proactiva de amenazas, descubrió una vulnerabilidad de zero-day (una nueva vulnerabilidad previamente desconocida) en WinRAR que está siendo explotada bajo la apariencia de documentos de solicitud de empleo. Esta campaña está siendo dirigida por el grupo RomCom, alineado con Rusia, y está dirigida a empresas financieras, de fabricación, defensa y logística de Europa y Canadá.
"Se recomienda a los usuarios de WinRAR que instalen la última versión lo antes posible para mitigar el riesgo. Además, es importante tener en cuenta que las soluciones de software que dependen de versiones de Windows disponibles públicamente de UnRAR.dll o su código fuente correspondiente también están afectadas, especialmente aquellas que no han actualizado sus dependencias", comenta Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.
Puntos clave de este hallazgo de ESET:
· Si se utiliza WinRAR u otros componentes afectados, como las versiones para Windows de sus utilidades de línea de comandos, UnRAR.dll o el código fuente portable de UnRAR, es importante actualizarlos inmediatamente a la última versión.
· El 18 de julio de 2025, el equipo de ESET descubrió una vulnerabilidad de día cero, desconocida hasta entonces, que estaba siendo explotada en WinRAR.
· El análisis del exploit llevó al descubrimiento de una vulnerabilidad de path traversal, posible gracias al uso de flujos de datos alternativos.
· Tras una notificación inmediata, WinRAR publicó una versión parcheada el 30 de julio de 2025.
· La vulnerabilidad permite ocultar archivos maliciosos en un archivo comprimido, que se despliegan silenciosamente al extraerlo.
· Esta campaña se dirigió a empresas financieras, de fabricación, defensa y logística de Europa y Canadá.
El equipo de investigación de ESET identificó una vulnerabilidad en WinRAR que está siendo explotada por el grupo RomCom. Este grupo (también conocido como Storm-0978, Tropical Scorpius o UNC2596) está alineado con Rusia y lleva a cabo tanto campañas oportunistas contra determinados sectores empresariales como operaciones de espionaje selectivo. El enfoque del grupo ha cambiado para incluir operaciones de espionaje que recopilan inteligencia, en paralelo con sus operaciones de ciberdelincuencia más convencionales.
El backdoor utilizado habitualmente por el grupo es capaz de ejecutar comandos y descargar módulos adicionales en la máquina de la víctima. Esta es al menos la tercera vez que RomCom ha sido descubierto explotando alguna vulnerabilidad importante de zero-day. Los ejemplos anteriores incluyen una de Microsoft Word en junio de 2023, y las vulnerabilidades dirigidas a versiones vulnerables de Firefox, Thunderbird y el navegador Tor, en octubre de 2024.
El equipo de ESET identificó un archivo RAR que contenía rutas inusuales que llamaron su atención. Tras un análisis más detallado, descubrió que los atacantes estaban explotando una vulnerabilidad desconocida hasta entonces que afectaba a WinRAR. Al confirmarlo, se pusieron en contacto con el desarrollador de WinRAR y, ese mismo día, se corrigió la vulnerabilidad y se publicó la actualización WinRAR 7.13 beta 1. WinRAR 7.13, el 30 de julio de 2025.
Los atacantes crearon especialmente el archivo que adjuntaban a los correos para que en apariencia sólo contuviera un archivo benigno, mientras que contiene muchos ADS maliciosos (aunque no hay indicación de ellos desde el punto de vista del usuario).
Una vez que la víctima abre este archivo aparentemente benigno, WinRAR lo desempaqueta junto con todos sus ADS. Por ejemplo, para Eli_Rosenfeld_CV2 - Copy (10).rar, se despliega una DLL maliciosa en %TEMP%. Del mismo modo, se despliega un archivo LNK malicioso en el directorio de inicio de Windows, con lo que se consigue la persistencia mediante la ejecución en el inicio de sesión del usuario.
Según la telemetría de ESET, estos archivos se utilizaron en campañas de spearphishing (tipo de ataque de phishing dirigido a puntos específicos, con el objetivo de obtener información confidencial o acceso a sistemas) del 18 al 21 de julio de 2025, dirigidas a empresas financieras, de fabricación, defensa y logística de Europa y Canadá. En todos los casos, los atacantes enviaron un CV con la esperanza de que un objetivo curioso lo abriera. Según la telemetría de ESET, ninguno de los objetivos se vio comprometido.
"Al explotar una vulnerabilidad de zero-day previamente desconocida en WinRAR, el grupo RomCom ha demostrado que está dispuesto a invertir grandes esfuerzos y recursos en sus ciberoperaciones. Esta es al menos la tercera vez que RomCom utiliza una vulnerabilidad de zero-day in the wild, lo que pone de manifiesto su constante interés en adquirir y utilizar exploits para ataques selectivos. La campaña descubierta se dirigió a sectores que coinciden con los intereses típicos de los grupos APT alineados con Rusia, lo que sugiere una motivación geopolítica detrás de la operación. Queremos agradecer al equipo de WinRAR su cooperación y rápida respuesta, y reconocer su esfuerzo por publicar un parche en tan sólo un día", comenta Anton Cherepanov, Senior Malware Researcher de ESET y parte del equipo que llevó adelante la investigación.
Para conocer más sobre seguridad informática visite el portal de noticias de ESET: https://www.welivesecurity.com/es/investigaciones/vulnerabilidad-zero-day-winrar-explotada-activamente
Por otro lado, ESET invita a conocer Conexión Segura, su podcast para saber qué está ocurriendo en el mundo de la seguridad informática. Para escucharlo ingrese a: https://open.spotify.com/show/0Q32tisjNy7eCYwUNHphcw