Investigadores de Trend Micro y CERT-UA alertaron el 15 de junio de 2026 sobre la explotación activa de la vulnerabilidad WinRAR CVE-2025-8088 por parte de actores vinculados a Rusia para distribuir el malware GIFTEDCROOK y extraer credenciales, cookies de sesión y documentos sensibles de organizaciones ucranianas.
Explotación de la vulnerabilidad WinRAR CVE-2025-8088
La CVE-2025-8088 es una vulnerabilidad de tipo Path Traversal con puntuación CVSS: 8.4 que afecta a versiones antiguas de WinRAR. Aunque fue corregida en WinRAR 7.13, los atacantes siguen aprovechando instalaciones sin actualizar.
El vector de infección documentado combina técnicas de ingeniería social y archivos comprimidos maliciosos. El flujo típico observado por los investigadores es el siguiente:
- Spear phishing: envío de archivos RAR como parte de campañas dirigidas.
- Abrir el archivo RAR con una versión vulnerable de WinRAR.
- Visualización de un señuelo en formato PDF que parece legítimo.
- Instalación silenciosa de archivos ocultos en el sistema, frecuentemente dentro de C:ProgramData.
- Creación de persistencia mediante la carpeta Startup de Windows para ejecutar el malware en el siguiente inicio de sesión.
- Ejecutar acciones de exfiltración sin alertas visibles para el usuario.
Actores, objetivos y capacidades de GIFTEDCROOK
La actividad ha sido atribuida a los grupos identificados como SHADOW-EARTH-066 (UAC-0226) y Earth Dahu (también conocido como Gamaredon). Ambos han dirigido campañas contra:
- Organismos gubernamentales
- Fuerzas de seguridad
- Instituciones militares
- Organizaciones estratégicas en Ucrania
La versión más reciente de GIFTEDCROOK puede obtener un amplio conjunto de datos sensibles y credenciales, entre ellos:
- Contraseñas almacenadas en navegadores
- Cookies de autenticación activas
- Claves maestras de cifrado de navegadores
- Bases de datos KeePass
- Documentos Office y PDF
- Correos electrónicos y archivos financieros u operativos
Además, los investigadores señalan que el malware incorpora técnicas para evadir análisis y dificultar su detección, lo que incrementa el riesgo en entornos con software desactualizado.
Recomendaciones y medidas de mitigación
Ante la explotación persistente de la vulnerabilidad WinRAR CVE-2025-8088, las organizaciones deben priorizar acciones inmediatas y de largo plazo para reducir el riesgo operativo.
- Actualizar a WinRAR 7.13 o superior en todos los sistemas.
- Revisar la presencia de archivos sospechosos en la carpeta Startup y en C:ProgramData.
- Investigar y eliminar artefactos asociados a archivos RAR recibidos por correo electrónico.
- Rotar credenciales almacenadas en navegadores si hay sospecha de compromiso.
- Invalidar sesiones activas y forzar reautenticación en servicios críticos.
- Habilitar MFA (autenticación multifactor) en todas las cuentas críticas.
- Fortalecer controles y formación contra spear phishing dirigido.
- Implementar inventario y gestión de versiones del software para reducir la presencia de aplicaciones sin parchear.
Conclusión
El caso subraya que una vulnerabilidad parchada puede seguir siendo un riesgo significativo mientras existan instalaciones sin actualizar. Mantener actualizaciones, controles de detección y políticas estrictas contra el spear phishing son medidas clave para mitigar ataques que explotan la vulnerabilidad WinRAR CVE-2025-8088.
Recuerda que puedes encontrar más noticias de tecnología en nuestro sitio web, además, te invitamos a seguirnos en nuestras redes sociales: Facebook, Twitter (X) y WhatsApp, incluido en Google News.
