Dos grupos APT rusos están explotando una vulnerabilidad de WinRAR que fue corregida hace casi un año para atacar a Ucrania.

      TL;DRDos grupos vinculados al FSB explotan un error de WinRAR corregido en julio de 2025 para robar credenciales ucranianas. El parche existe, pero la adopción sigue siendo lenta.

      Dos grupos de hackers vinculados al estado ruso están explotando activamente una vulnerabilidad de recorrido de ruta en WinRAR que fue corregida hace casi un año, utilizándola para desplegar malware que roba credenciales contra objetivos gubernamentales y militares ucranianos, según una investigación publicada por Trend Micro. La falla, rastreada como CVE-2025-8088 y calificada con 8.4 en la escala CVSS, permite a los atacantes abusar de los flujos de datos alternativos de NTFS para ocultar cargas maliciosas dentro de archivos de archivo que parecen inofensivos para el destinatario. El parche se envió en WinRAR 7.13 el 30 de julio de 2025, pero la explotación activa comenzó al menos 12 días antes, y los dos grupos aún lo están utilizando porque WinRAR sigue profundamente integrado en las organizaciones ucranianas y la adopción de actualizaciones ha sido lenta.

      Gamaredon, el grupo vinculado al FSB que Trend Micro rastrea como Earth Dahu, está utilizando la vulnerabilidad como punto de entrada para una cadena de infección de múltiples etapas. El ataque comienza con un correo electrónico de spear-phishing que contiene un archivo RAR armado que explota CVE-2025-8088 para soltar un archivo HTA, que ejecuta un cargador VBScript llamado GammaPhish. Ese cargador descarga GammaLoad, un backdoor que establece persistencia y obtiene GammaSteel, la herramienta principal del grupo para exfiltrar documentos y capturas de pantalla de máquinas comprometidas.

      SHADOW-EARTH-066, que el CERT de Ucrania rastrea como UAC-0226, ha convergido de manera independiente en la misma falla de WinRAR pero despliega malware diferente. El grupo anteriormente dependía de macros maliciosas de Excel para entregar sus cargas, pero cambió a cadenas de explotación de WinRAR después de que la vulnerabilidad se hiciera disponible, una mejora táctica que elude los bloqueos de macros predeterminados de Microsoft. Su carga es GIFTEDCROOK, un ladrón de información que apunta a contraseñas guardadas y cookies de sesión de Chrome, Edge, Opera y Firefox, junto con documentos almacenados en el sistema comprometido.

      La convergencia de dos grupos APT rusos separados en una sola vulnerabilidad es notable porque Gamaredon y SHADOW-EARTH-066 operan diferentes cadenas de herramientas y parecen servir a diferentes objetivos de recolección de inteligencia, sin embargo, ambos identificaron CVE-2025-8088 como la forma más eficiente de alcanzar objetivos ucranianos. Los investigadores de Trend Micro Hiroyuki Kakara y Feike Hacquebord documentaron las campañas en un análisis conjunto. Sekoia, la firma francesa de inteligencia de amenazas, corroboró de manera independiente la cadena de Gamaredon y señaló que el enfoque del grupo se ha mantenido centrado en entidades militares, de aplicación de la ley y gubernamentales ucranianas a lo largo de la campaña.

      Un cambio operativo significativo acompaña a las campañas de explotación. Históricamente, Gamaredon utilizó bots y canales de Telegram para retransmitir datos robados a sus operadores, pero el grupo ha estado migrando la exfiltración a servidores dedicados de comando y control desde principios de 2026. El momento se alinea con la decisión de Rusia de limitar el tráfico de Telegram a partir del 10 de febrero de 2026, un movimiento confirmado por CNN y Amnistía Internacional que interrumpió la fiabilidad de la plataforma dentro de Rusia y la convirtió en un canal menos confiable para transferencias de datos encubiertas.

      RomCom, un grupo APT de habla rusa separado, fue el primer actor de amenazas en armar CVE-2025-8088, explotándolo antes de que WinRAR lanzara el parche. El hecho de que al menos tres grupos distintos hayan construido ahora cadenas de explotación en torno al mismo error subraya un problema estructural: la brecha entre cuando los parches están disponibles y cuando las organizaciones realmente los implementan le da a los atacantes una ventana que puede extenderse durante meses o más. WinRAR no se actualiza automáticamente en la mayoría de las configuraciones empresariales, y las organizaciones ucranianas que operan en condiciones de guerra enfrentan barreras adicionales para el mantenimiento rutinario del software.

      Las campañas son parte de un patrón más amplio de operaciones cibernéticas patrocinadas por el estado ruso que apuntan a la infraestructura europea y ucraniana, que se ha intensificado desde la invasión a gran escala en 2022. El enfoque de GIFTEDCROOK en las credenciales del navegador es particularmente peligroso porque las contraseñas guardadas y las cookies de sesión pueden dar a los atacantes acceso a cuentas de correo electrónico, portales internos y plataformas de comunicación sin necesidad de romper autenticaciones adicionales. Trend Micro señaló que los datos del navegador robados a menudo proporcionan oportunidades de movimiento lateral que se extienden mucho más allá de la máquina inicialmente comprometida.

      Para las organizaciones que aún utilizan WinRAR 7.12 o anterior, la remediación es actualizar a la versión 7.13 o posterior, que ha estado disponible desde julio de 2025. El hecho de que el parche haya existido durante casi un año mientras la explotación continúa es el problema central. Los administradores que no pueden actualizar de inmediato deben tratar los archivos RAR entrantes con la misma sospecha que ahora se aplica a otros formatos de archivo que han sido armados en ataques recientes en el borde de la red, y considerar bloquear los flujos de datos alternativos de NTFS en la puerta de enlace de correo electrónico cuando sea posible.