El equipo de ESET descubrió una vulnerabilidad de zero-day en WinRAR que está siendo explotada mediante documentos falsos de solicitud de empleo. Esta campaña, atribuida al grupo RomCom, alineado con Rusia, se dirige a empresas de los sectores financiero, manufacturero, defensa y logística en Europa y Canadá. La vulnerabilidad permite que los atacantes oculten archivos maliciosos en archivos comprimidos, los cuales se ejecutan silenciosamente al extraerlos.
La investigación reveló que el exploit se basa en una vulnerabilidad de path traversal, habilitada por el uso de flujos de datos alternativos. Esto posibilita el despliegue sigiloso de malware al descomprimir un archivo aparentemente legítimo. ESET notificó de inmediato a WinRAR, que lanzó una versión parcheada el 30 de julio de 2025, mitigando el riesgo.
Los usuarios de WinRAR y de utilidades que empleen UnRAR.dll o su código fuente portable deben actualizar urgentemente a la versión más reciente. Esto también incluye aplicaciones que integren esas dependencias y no las hayan actualizado, ya que siguen siendo vulnerables a la explotación de este fallo.
El grupo RomCom —también conocido como Storm-0978, Tropical Scorpius o UNC2596— ha ampliado su actividad hacia operaciones de espionaje que buscan recopilar inteligencia, además de sus campañas de ciberdelincuencia. Sus objetivos incluyen tanto ataques dirigidos como campañas oportunistas contra organizaciones clave.
El backdoor usado por RomCom puede ejecutar comandos y descargar módulos adicionales en las máquinas comprometidas, incrementando el nivel de intrusión y persistencia. Este caso representa la tercera ocasión en que se detecta a RomCom explotando vulnerabilidades de zero-day de alto impacto, después de ataques a Microsoft Word en 2023 y a Firefox, Thunderbird y Tor en 2024.
ESET reitera la importancia de instalar las actualizaciones de WinRAR y de cualquier software que dependa de sus componentes para prevenir ataques. La detección temprana y respuesta rápida en este caso han sido claves para minimizar el alcance, pero la amenaza sigue latente para quienes no hayan aplicado los parches de seguridad.
