Hackers rusos explotan vulnerabilidad zero-day en WinRAR para instalar puertas traseras

Una vulnerabilidad zero-day recién descubierta en WinRAR, el popular software de compresión con más de 500 millones de usuarios, está siendo explotada activamente por el grupo de hackers patrocinado por el estado ruso conocido como RomCom. Este fallo crítico permite a los atacantes instalar puertas traseras persistentes que les dan control completo sobre sistemas comprometidos cuando los usuarios abren archivos RAR especialmente manipulados.

La vulnerabilidad (CVE-2025-XXXX) existe en el procesamiento de volúmenes de recuperación de WinRAR, donde una validación inadecuada de las cabeceras de archivo permite la ejecución de código arbitrario. Los operadores de RomCom han armado este fallo para desplegar puertas traseras personalizadas que establecen comunicaciones de comando y control (C2) con servidores controlados por los atacantes. Una vez instaladas, estas puertas traseras permiten acceso completo al sistema, exfiltración de datos y movimiento lateral en redes.

Los investigadores de seguridad que monitorean las actividades de RomCom señalan que el grupo ha atacado históricamente:

La cadena de ataque comienza con correos de spear-phishing que contienen archivos RAR maliciosos disfrazados de documentos legítimos. Al abrirlos en versiones vulnerables de WinRAR (anteriores a la 6.23), el archivo ejecuta malware integrado sin interacción del usuario. La puerta trasera establece persistencia mediante modificaciones del registro y tareas programadas.

Recomendaciones de mitigación:

Este incidente resalta el riesgo continuo que representan las vulnerabilidades en software ampliamente utilizado cuando son explotadas por grupos de amenazas persistentes avanzadas. Las organizaciones deben priorizar la aplicación de parches y asumir posturas de 'asuma la brecha' al enfrentar fallos tan críticos.