Vulnerabilitat de WinRAR CVE-2025-8088
Investigadors de seguretat han descobert una àmplia explotació d'una vulnerabilitat crítica, ara amb pegats, a RARLAB WinRAR per part de múltiples actors d'amenaces. Tant adversaris estatals com grups amb motivacions financeres han aprofitat la falla per obtenir accés inicial als entorns objectiu i desplegar una àmplia gamma de càrregues útils malicioses. Tot i haver estat pegat el juliol de 2025, la vulnerabilitat continua sent utilitzada de manera abusiva en diverses operacions, cosa que posa de manifest els riscos persistents associats al programari sense pegats.
Taula de continguts
CVE-2025-8088: Visió general tècnica i impacte
La vulnerabilitat, registrada com a CVE-2025-8088 amb una puntuació CVSS de 8,8, es va solucionar a la versió 7.13 de WinRAR, publicada el 30 de juliol de 2025. L'explotació permet l'execució arbitrària de codi a través d'arxius especialment dissenyats oberts en versions vulnerables del programari. La causa principal és una falla de travessia de ruta que permet als atacants deixar anar fitxers en ubicacions sensibles, sobretot la carpeta d'inici de Windows, cosa que permet la persistència discreta i l'execució automàtica en reiniciar el sistema i iniciar sessió l'usuari.
Aquesta tècnica d'explotació reflecteix una bretxa defensiva més àmplia en la higiene bàsica de la seguretat de les aplicacions i la consciència de l'usuari final.
De zero-day a N-day: l’evolució dels atacs
La falla va ser explotada com a falla de dia zero ja el 18 de juliol de 2025, en particular pel grup d'amenaces de doble motivació RomCom (també conegut com a CIGAR o UNC4895). Aquestes operacions van generar una variant del programari maliciós SnipBot (NESTPACKER). Els investigadors també associen l'activitat relacionada amb el clúster rastrejat com a UNC2596, que s'ha vinculat a desplegaments de ransomware a Cuba.
Després de la divulgació pública i l'aplicació de pegats, la vulnerabilitat va passar ràpidament a ser àmpliament explotada en el dia n, amb atacants que incrustaven fitxers maliciosos, sovint càrregues útils de dreceres de Windows (LNK) amagades en fluxos de dades alternatius (ADS), dins de contingut esquer. Un cop extrets, aquests fitxers es col·loquen en rutes de sistema predeterminades i s'activen automàticament després d'un reinici.
Les operacions de l’estat-nació expandeixen l’explotació
Diversos grups d'amenaces vinculats al govern han incorporat la CVE-2025-8088 en campanyes actives. Els actors alineats amb Rússia, en particular, han utilitzat esquers personalitzats i càrregues útils secundàries per avançar tant en l'espionatge com en objectius disruptius:
- Sandworm (també conegut com APT44 o FROZENBARENTS) va desplegar arxius que contenien fitxers esquer de temàtica ucraïnesa juntament amb càrregues LNK malicioses dissenyades per recuperar components addicionals.
- Gamaredon (també conegut com a CARPATHIAN) va atacar entitats governamentals ucraïneses utilitzant arxius RAR que proporcionaven descarregadors d'aplicacions HTML (HTA) com a primera etapa.
- Turla (també conegut com a SUMMIT) va abusar de la falla per distribuir el marc de programari maliciós STOCKSTAY, utilitzant temes d'enginyeria social relacionats amb activitats militars i relacionades amb drons ucraïnesos.
En paral·lel, un actor d'amenaces amb seu a la Xina ha utilitzat la mateixa vulnerabilitat per instal·lar Poison Ivy, lliurada mitjançant un script per lots col·locat a la carpeta d'inici de Windows i configurat per recuperar un dropper secundari.
Campanyes amb motivació financera i segmentació comercial
Els grups ciberdelinqüents van adoptar ràpidament la vulnerabilitat per implementar troians d'accés remot (RAT) i lladres d'informació contra víctimes comercials. Les càrregues útils observades inclouen portes del darrere controlades per bots de Telegram, així com famílies de programari maliciós com ara AsyncRAT i XWorm.
En una campanya notable, un grup de ciberdelinqüència conegut per atacar usuaris brasilers va distribuir una extensió maliciosa de Chrome. Aquesta extensió va injectar JavaScript a les pàgines de dos llocs web bancaris brasilers per presentar contingut de phishing i recopilar credencials d'usuari, demostrant la flexibilitat de l'accés inicial obtingut a través de l'exploit de WinRAR.
Mercats subterranis i la mercantilització de les explotacions
Es calcula que l'adopció ràpida i àmplia de CVE-2025-8088 prové d'una pròspera economia clandestina d'explotacions. Segons sembla, les explotacions de WinRAR es van anunciar per milers de dòlars, cosa que va reduir la barrera d'entrada per a una àmplia gamma d'actors. Un proveïdor que operava sota l'àlies "zeroplayer" va comercialitzar una explotació de WinRAR en les setmanes anteriors a la divulgació pública de CVE-2025-8088.
El paper continuat de Zeroplayer com a proveïdor aigües amunt il·lustra la mercantilització del cicle de vida dels atacs, on les capacitats d'explotació clau en mà redueixen els costos de desenvolupament i permeten a grups amb motivacions variades dur a terme operacions sofisticades.
Un patró més ampli: altres defectes de WinRAR sota atac
Aquesta activitat coincideix amb intents d'explotació contra una altra vulnerabilitat de WinRAR, CVE-2025-6218 (puntuació CVSS: 7,8). S'ha observat que diversos actors d'amenaces, inclosos GOFFEE, Bitter i Gamaredon, aprofiten aquesta falla independent, reforçant l'amenaça contínua que representen les vulnerabilitats de n-day i la velocitat a la qual els adversaris operativitzen les debilitats recentment revelades.
Implicacions estratègiques per als defensors
L'abús sostingut de les vulnerabilitats de WinRAR amb pegats subratlla la importància d'una gestió oportuna dels pegats, la formació dels usuaris i la supervisió dels mecanismes de persistència, com ara els fitxers no autoritzats als directoris d'inici. La convergència de l'explotació patrocinada per l'estat i la criminal demostra encara més la rapidesa amb què les vulnerabilitats crítiques es converteixen en recursos compartits en tot el panorama d'amenaces.
