La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) el martes agregado una falla de seguridad que afecta el archivador de archivos WinRAR y la utilidad de compresión a sus vulnerabilidades explotadas conocidas (KEV) catálogo, citando evidencia de explotación activa.
La vulnerabilidad, rastreada como CVE-2025-6218 (Puntuación CVSS: 7,8), es un error de recorrido de ruta que podría permitir la ejecución de código. Sin embargo, para que la explotación tenga éxito, es necesario que el objetivo potencial visite una página maliciosa o abra un archivo malicioso.
«RARLAB WinRAR contiene una vulnerabilidad de recorrido de ruta que permite a un atacante ejecutar código en el contexto del usuario actual», dijo CISA en una alerta.
RARLAB parchó la vulnerabilidad con WinRAR 7.12 en junio de 2025. Solo afecta a las compilaciones basadas en Windows. Las versiones de la herramienta para otras plataformas, incluidas Unix y Android, no se ven afectadas.
«Esta falla podría explotarse para colocar archivos en ubicaciones confidenciales, como la carpeta de inicio de Windows, lo que podría provocar la ejecución no deseada de código en el siguiente inicio de sesión del sistema», señaló RARLAB en ese momento.
El desarrollo se produce a raíz de múltiples informes de BI.ZONE, Foresiet, SecPod y Synaptic Security; la vulnerabilidad ha sido explotada por dos actores de amenazas diferentes rastreados como GOFFEE (también conocido como Paper Werewolf), Bitter (también conocido como APT-C-08 o Manlinghua) y Gamaredon.
En un análisis publicado en agosto de 2025, el proveedor ruso de ciberseguridad dicho Hay indicios de que GOFFEE puede ser explotado CVE-2025-6218 junto con CVE-2025-8088 (puntuación CVSS: 8,8), otra falla de recorrido de ruta en WinRAR, en ataques dirigidos a organizaciones en el país en julio de 2025 a través de correos electrónicos de phishing.
Desde entonces se ha descubierto que el proyecto centrado en el sur de Asia APT amargo también tiene armado la vulnerabilidad para facilitar la persistencia en el host comprometido y, en última instancia, eliminar un troyano C# mediante un descargador ligero. El ataque aprovecha un archivo RAR («Provisión de información para Sectorial para AJK.rar») que contiene un documento de Word benigno y una plantilla de macro maliciosa.
«El archivo malicioso coloca un archivo llamado Normal.dotm en la ruta de la plantilla global de Microsoft Word», Foresiet dicho mes pasado. «Normal.dotm es una plantilla global que se carga cada vez que se abre Word. Al reemplazar el archivo legítimo, el atacante se asegura de que su código de macro malicioso se ejecute automáticamente, proporcionando una puerta trasera persistente que evita el bloqueo de macros de correo electrónico estándar para los documentos recibidos después del compromiso inicial».
El troyano C# está diseñado para contactar con un servidor externo («johnfashionaccess[.]com») para comando y control (C2) y habilitar el registro de teclas, la captura de capturas de pantalla, la recolección de credenciales del protocolo de escritorio remoto (RDP) y la exfiltración de archivos. Se evalúa que los archivos RAR se propagan a través de ataques de phishing.
Por último, pero no menos importante, CVE-2025-6218 también ha sido explotado por un grupo de hackers ruso conocido como Gamaredón en campañas de phishing dirigido a entidades militares, gubernamentales, políticas y administrativas de Ucrania para infectarlas con un malware denominado Pteranodon. La actividad se observó por primera vez en noviembre de 2025.
«Esta no es una campaña oportunista», afirma un investigador de seguridad llamado Robin dicho. «Es una operación de espionaje y sabotaje estructurada y de orientación militar, consistente con la inteligencia estatal rusa y probablemente coordinada por ella».
Vale la pena señalar que el adversario también ha abusado ampliamente de CVE-2025-8088, usándolo para entregar malware malicioso de Visual Basic Script e incluso implementar un nuevo limpiador con nombre en código GamaWiper.
«Esto marca el primer caso observado en el que Gamaredon lleva a cabo operaciones destructivas en lugar de sus tradicionales actividades de espionaje», ClearSky dicho en una publicación del 30 de noviembre de 2025 en X.
A la luz de la explotación activa, las agencias del Poder Ejecutivo Civil Federal (FCEB) deben aplicar las correcciones necesarias antes del 30 de diciembre de 2025 para proteger sus redes.
Fuente