El equipo de investigación de ESET, líder en detección proactiva de amenazas, ha descubierto una vulnerabilidad de zero-day (una nueva vulnerabilidad previamente desconocida) en WinRAR que está siendo explotada por el grupo RomCom, alineado con Rusia, para robar información de empresas objetivo.
Según el análisis de ESET, esta campaña de phishing está dirigida a empresas financieras, de fabricación, defensa y logística de Europa y Canadá. Los atacantes envían correos electrónicos con un archivo RAR que, al ser descomprimido, despliega silenciosamente archivos maliciosos en la máquina de la víctima.
Vulnerabilidad en WinRAR Permite Ocultar Malware
La vulnerabilidad descubierta por ESET se basa en el uso de flujos de datos alternativos (ADS) en WinRAR, lo que permite ocultar archivos maliciosos dentro de un archivo comprimido aparentemente benigno. Al extraer el archivo, estos elementos maliciosos se despliegan sin que el usuario lo note.
Según Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica, «Se recomienda a los usuarios de WinRAR que instalen la última versión lo antes posible para mitigar el riesgo. Además, es importante tener en cuenta que las soluciones de software que dependen de versiones de Windows disponibles públicamente de UnRAR.dll o su código fuente correspondiente también están afectadas, especialmente aquellas que no han actualizado sus dependencias».
Grupo RomCom, Experto en Explotar Vulnerabilidades Zero-Day
El grupo RomCom (también conocido como Storm-0978, Tropical Scorpius o UNC2596) es un actor de amenazas alineado con Rusia que lleva a cabo tanto campañas oportunistas contra sectores empresariales específicos como operaciones de espionaje selectivo.
Según el análisis de ESET, este es al menos el tercer caso en el que RomCom ha sido descubierto explotando una vulnerabilidad zero-day importante. Anteriormente, el grupo ha aprovechado brechas de seguridad en Microsoft Word, Firefox, Thunderbird y el navegador Tor.
«Al explotar una vulnerabilidad de zero-day previamente desconocida en WinRAR, el grupo RomCom ha demostrado que está dispuesto a invertir grandes esfuerzos y recursos en sus ciberoperaciones. Esta es al menos la tercera vez que RomCom utiliza una vulnerabilidad de zero-day in the wild, lo que pone de manifiesto su constante interés en adquirir y utilizar exploits para ataques selectivos», comenta Anton Cherepanov, Senior Malware Researcher de ESET.
Rápida Respuesta de WinRAR Ante la Amenaza
Tras ser notificado por ESET, el equipo de WinRAR publicó una versión parcheada de su software apenas 12 días después, el 30 de julio de 2025. ESET agradece la cooperación y la rápida respuesta del desarrollador para mitigar esta grave vulnerabilidad.
Los usuarios de WinRAR, así como de cualquier software que dependa de las bibliotecas UnRAR.dll o su código fuente, deben actualizar a la última versión disponible de inmediato para protegerse contra este ataque.
ESET invita a los lectores a mantenerse informados sobre seguridad informática a través de su portal de noticias WeLiveSecurity y su podcast Conexión Segura.
