Google advierte que grupos de espionaje como cibercriminales comunes continúan abusando masivamente de una vulnerabilidad de “Path Traversal” descubierta en 2025.
A veces, las herramientas más cotidianas son las más peligrosas si no se actualizan. El Grupo de Inteligencia de Amenazas de Google (GTIG) reportan hoy, 27 de enero de 2026, que una vulnerabilidad crítica en WinRAR sigue siendo una de las puertas de entrada favoritas para los hackers, meses después de su descubrimiento.
El fallo, rastreado como CVE-2025-8088 , permite a los atacantes esconder malware dentro de archivos comprimidos de tal manera que, al descomprimirse, los archivos maliciosos “saltan” a carpetas críticas del sistema (como la carpeta de Inicio de Windows) sin que el usuario se dé cuenta.
El Fallo: CVE-2025-8088 y los “Flujos de datos alternativos”
La técnica es sutil pero efectiva. Aprovecha cómo WinRAR maneja los flujos de datos alternativos (ADS) y la travesía de directorios.
- El Engaño: El usuario recibe un archivo ZIP o RAR que parece contener un documento inofensivo (por ejemplo, factura.pdf o una imagen).
- La Realidad: Oculto en los flujos de datos alternativos de ese archivo, existe una carga útil maliciosa (un script .bat , un ejecutable .exe o un enlace .lnk ).
- La Ejecución: Cuando el usuario descomprime el archivo “señuelo”, WinRAR, debido a la vulnerabilidad, extrae silenciosamente el archivo oculto en una ubicación arbitraria fuera de la carpeta de destino elegida, logrando persistencia automática en el sistema.
¿Quiénes lo están usando?
Según el informe de Google, la explotación comenzó en julio de 2025 y no ha parado. La lista de actores incluye pesos pesados del espionaje:
- UNC4895 (RomCom): Un grupo alineado con Rusia, atacando unidades militares ucranianas con el malware NESTPACKER.
- APT44 (FrozenBarents): Utilizando señuelos en idioma ucraniano para desplegar descargadores maliciosos.
- Temp.Armageddon: Continúan dejando archivos HTA maliciosos en las carpetas de inicio de las víctimas en 2026.
- Turla: Un actor de espionaje ruso de alto nivel, distribuyendo la suite de malware STOCKSTAY.
- Actores chinos: Desplegando el troyano POISONIVY mediante guiones BAT.
Además de los espías, los cibercriminales financieros están usando el mismo exploit para distribuir herramientas de acceso remoto (RAT) baratas como XWorm y AsyncRAT.
El Mercado Negro de Exploits
Google destaca un punto preocupante: la “comoditización” de los exploits. Muchos de estos actores no descubrieron el fallo por sí mismos; compraron kits de explotación listos para usar a proveedores especializados como “zeroplayer”, quien vendía este exploit de WinRAR (junto con otros de día cero para Office y VPNs) por sumas de entre $80,000 y $300,000 dólares.
Solución: Actualiza WinRAR ya
Si todavía tienes una versión antigua de WinRAR instalada (cualquier versión anterior a finales de 2025), eres vulnerable.
- Acción: Descarga e instala la última versión disponible desde el sitio oficial ( rarlab.com ).
- Alternativa: Considere usar herramientas de código abierto como 7-Zip, que no están afectadas por esta vulnerabilidad específica de manejo de ADS.
