La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) añadió el martes una vulnerabilidad que afecta al programa de compresión y archivo de archivos WinRAR a su catálogo de vulnerabilidades explotadas conocidas (KEV), citando evidencia de explotación activa.
La vulnerabilidad, rastreada como CVE-2025-6218 (Puntuación CVSS: 7,8) es un error de recorrido de ruta que podría permitir la ejecución de código. Sin embargo, para que la explotación tenga éxito, un objetivo potencial debe visitar una página maliciosa o abrir un archivo malicioso.
“RARLAB WinRAR contiene una vulnerabilidad de recorrido de ruta que permite a un atacante ejecutar código en el contexto del usuario actual”, dijo CISA en una alerta.
RARLAB parchó la vulnerabilidad con WinRAR 7.12 en junio de 2025. Solo afecta a las compilaciones basadas en Windows. Las versiones de la herramienta para otras plataformas, incluidas Unix y Android, no se ven afectadas.
“Esta falla podría explotarse para colocar archivos en ubicaciones confidenciales, como la carpeta de inicio de Windows, lo que podría provocar la ejecución involuntaria de código en el siguiente inicio de sesión del sistema”, señaló RARLAB en ese momento.
El desarrollo se produce a raíz de varios informes de BI.ZONE, Foresiet, SecPod y Synaptic Security. La vulnerabilidad fue explotada por dos actores de amenazas diferentes conocidos como GOFFEE (también conocido como Paper Werewolf), Bitter (también conocido como APT-C-08 o Manlinghua) y Gamaredon.
En un análisis publicado en agosto de 2025, el proveedor ruso de ciberseguridad dijo que había evidencia de que GOFFEE CVE-2025-6218, junto con CVE-2025-8088 (puntuación CVSS: 8,8), otra falla de recorrido de ruta en WinRAR, podría explotarse en ataques a organizaciones en el país a través de correos electrónicos de phishing en julio de 2025.
Desde entonces se supo que Bitter APT, una empresa especializada en el sur de Asia, también aprovechó la vulnerabilidad para permitir la persistencia en el host comprometido y, en última instancia, defenderse de un troyano C# utilizando un descargador ligero. El ataque utiliza un archivo de suministro de información sectorial para AJK.rar (RAR) que contiene un documento de Word inofensivo y una plantilla de macro maliciosa.
“El archivo malicioso coloca un archivo llamado Normal.dotm en la ruta de la plantilla global de Microsoft Word”, dijo Foresiet el mes pasado. “Normal.dotm es una plantilla global que se carga cada vez que se abre Word. Al reemplazar el archivo legítimo, el atacante se asegura de que su código de macro malicioso se ejecute automáticamente, proporcionando una puerta trasera persistente que evita el bloqueo de macros de correo electrónico estándar para los documentos recibidos después del compromiso inicial”.
El troyano C# está diseñado para contactar con un servidor externo (“johnfashionaccess(.)com”) para comando y control (C2) y habilitar el registro de teclas, la captura de capturas de pantalla, las credenciales del Protocolo de escritorio remoto (RDP) y la exfiltración de archivos. Se cree que los archivos RAR se distribuyen mediante ataques de phishing.
Por último, pero no menos importante, CVE-2025-6218 también fue explotado por un grupo de hackers ruso llamado Gamaredon en campañas de phishing contra unidades militares, gubernamentales, políticas y administrativas de Ucrania para infectarlas con un malware llamado Pteranodon. La actividad se observó por primera vez en noviembre de 2025.
“Esta no es una campaña oportunista”, dijo un investigador de seguridad llamado Robin. “Es una operación estructurada de espionaje y sabotaje de orientación militar, en consonancia con la inteligencia estatal rusa y probablemente coordinada por ella”.
Vale la pena señalar que el atacante también abusó ampliamente de CVE-2025-8088, usándolo para difundir malware malicioso de Visual Basic Script e incluso implementando un nuevo limpiador con nombre en código GamaWiper.
“Este es el primer caso observado en el que Gamaredon realiza operaciones destructivas en lugar de sus tradicionales actividades de espionaje”, dijo ClearSky en una publicación del 30 de noviembre de 2025 en X.
Dada la explotación activa, las autoridades del Poder Ejecutivo Civil Federal (FCEB) deben realizar las correcciones necesarias para proteger sus redes antes del 30 de diciembre de 2025.
About The Author
