La CISA advierte sobre la vulnerabilidad de WinRAR
La Agencia de Ciberseguridad y Seguridad de Infraestructuras (CISA) de EE. UU. ha añadido una vulnerabilidad que afecta al software de compresión WinRAR a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV), citando evidencia de explotación activa.
La vulnerabilidad, rastreada como CVE-2025-6218 (puntuación CVSS: 7.8), es un fallo de path traversal que podría permitir la ejecución de código. Para ser explotada, requiere que un objetivo visite una página web maliciosa o abra un archivo malicioso.
Detalles técnicos de la vulnerabilidad y el parche
RARLAB, el desarrollador de WinRAR, parcheó esta vulnerabilidad con el lanzamiento de WinRAR 7.12 en junio de 2025. El fallo solo afecta a las versiones para Windows.
- Vulnerabilidad: Path traversal (recorrido de ruta) que permite a un atacante colocar archivos en ubicaciones sensibles.
- Impacto: El atacante puede colocar archivos en el directorio de inicio de Windows, lo que podría conducir a la ejecución no intencionada de código en el siguiente inicio de sesión del sistema.
- Parche: WinRAR 7.12 y versiones posteriores solucionan el problema.
Explotación por grupos de amenazas
Múltiples grupos de amenazas han estado explotando activamente esta vulnerabilidad en campañas de spear-phishing.
Campaña de GOFFEE (Paper Werewolf)
El grupo GOFFEE (también conocido como Paper Werewolf) ha sido vinculado a la explotación de CVE-2025-6218 junto con otra vulnerabilidad de path traversal en WinRAR (CVE-2025-8088). Los ataques se dirigen a organizaciones en Rusia a través de correos electrónicos de phishing.
Ataques del APT Bitter (APT-C-08)
El grupo APT Bitter, enfocado en el sur de Asia, ha utilizado la vulnerabilidad para establecer persistencia en los sistemas comprometidos.
- Mecanismo de ataque: Un archivo RAR malicioso (
Provision of Information for Sectoral for AJK.rar) contiene un documento de Word benigno y una plantilla de macro maliciosa. - Persistencia: El archivo malicioso (
Normal.dotm) se coloca en la ruta de la plantilla global de Microsoft Word. Este archivo se carga automáticamente cada vez que se abre Word, proporcionando una puerta trasera persistente que elude los bloqueos estándar de macros. - Carga útil (Payload): Un troyano C# se comunica con un servidor de comando y control (C2) para realizar keylogging, capturar capturas de pantalla, cosechar credenciales RDP y exfiltrar archivos.
Operaciones de Gamaredon contra Ucrania
El grupo de hacking ruso Gamaredon ha explotado CVE-2025-6218 en campañas de phishing dirigidas a entidades militares, gubernamentales y administrativas de Ucrania.
- Malware desplegado: Pteranodon.
- Operación destructiva: Gamaredon también ha abusado de CVE-2025-8088 para desplegar un nuevo “wiper” (GamaWiper), marcando la primera vez que se observa a este grupo realizando operaciones destructivas en lugar de sus actividades tradicionales de espionaje.
Conclusiones y recomendaciones
Dado el riesgo de explotación activa y las campañas de ciberespionaje observadas, la CISA exige a las agencias ejecutivas civiles federales (FCEB) aplicar los parches necesarios antes del 30 de diciembre de 2025. Para el resto de usuarios, la recomendación es actualizar WinRAR a la versión 7.12 o posterior inmediatamente para mitigar el riesgo.
Referencias
- CVE-2025-6218: Vulnerabilidad de path traversal en WinRAR.
- CVE-2025-8088: Otra vulnerabilidad de path traversal en WinRAR explotada activamente.
- Grupos de amenazas: GOFFEE (Paper Werewolf), Bitter (APT-C-08), Gamaredon.
- Parche: WinRAR 7.12.