El equipo de investigación de ESET descubrió una vulnerabilidad de día cero (previamente desconocida) en WinRAR que está siendo explotada bajo la apariencia de documentos de solicitud de empleo. Esta campaña está siendo dirigida por el grupo RomCom, alineado con Rusia, y apunta a empresas de los sectores financiero, de fabricación, defensa y logística de Europa y Canadá.
«Se recomienda a los usuarios de WinRAR que instalen la última versión lo antes posible para mitigar el riesgo. Además, es importante tener en cuenta que las soluciones de software que dependen de versiones de Windows disponibles públicamente de UnRAR.dll o su código fuente correspondiente también están afectadas, especialmente aquellas que no han actualizado sus dependencias», comenta Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.
El 18 de julio de 2025, el equipo de ESET descubrió la vulnerabilidad que estaba siendo explotada. El análisis llevó al descubrimiento de una vulnerabilidad de path traversal, posible gracias al uso de flujos de datos alternativos. Tras una notificación inmediata, WinRAR publicó una versión parcheada el 30 de julio de 2025.
Este grupo (también conocido como Storm-0978, Tropical Scorpius o UNC2596) lleva a cabo tanto campañas oportunistas contra determinados sectores empresariales como operaciones de espionaje selectivo. El backdoor utilizado habitualmente por el grupo es capaz de ejecutar comandos y descargar módulos adicionales en la máquina de la víctima.
Los atacantes crearon un archivo adjunto a los correos para que en apariencia sólo contuviera un documento benigno. Una vez que la víctima abre este archivo, WinRAR lo desempaqueta junto con sus ADS (Alternate Data Streams) maliciosos. Por ejemplo, para el archivo Eli_Rosenfeld_CV2 – Copy (10).rar, se despliega una DLL maliciosa en %TEMP% y un archivo LNK malicioso en el directorio de inicio de Windows para lograr persistencia.
«Al explotar una vulnerabilidad de zero-day previamente desconocida en WinRAR, el grupo RomCom ha demostrado que está dispuesto a invertir grandes esfuerzos y recursos en sus ciberoperaciones. Esta es al menos la tercera vez que RomCom utiliza una vulnerabilidad de zero-day in the wild, lo que pone de manifiesto su constante interés en adquirir y utilizar exploits para ataques selectivos», comenta Anton Cherepanov, Senior Malware Researcher de ESET y parte del equipo que llevó adelante la investigación.
