La Agencia de Seguridad de Infraestructura y Ciberseguridad de los Estados Unidos (CISA) el martes adicional un fallo de seguridad que afecta al archivador de archivos y a la utilidad de compresión WinRAR y provocar sus vulnerabilidades explotadas conocidas ( KEV ), en el que se citan pruebas de explotación activa.
La vulnerabilidad, rastreada como CVE-2025-6218 (puntuación CVSS: 7.8), es un error de recorrido de ruta que podría permitir la ejecución de código. Sin embargo, para que la explotación tenga éxito, es necesario que un posible objetivo visite una página maliciosa o abra un archivo malintencionado.
«RARLAB WinRAR contiene una vulnerabilidad de cruce de rutas que permite a un atacante ejecutar código en el contexto del usuario actual», afirma CISA en una alerta.
La vulnerabilidad fue parcheada por RARLAB con WinRAR 7.12 en junio de 2025. Solo afecta a las compilaciones basadas en Windows. Las versiones de la herramienta para otras plataformas, incluidas Unix y Android, no se ven afectadas.
«Esta falla podría aprovecharse para colocar archivos en ubicaciones sensibles, como la carpeta de inicio de Windows, lo que podría provocar la ejecución de código no deseada la próxima vez que inicie sesión en el sistema», señaló RARLAB en ese momento.
El desarrollo se produce a raíz de múltiples informes de BI.ZONE, Foresiet, SecPod y Synaptic Security, y la vulnerabilidad ha sido explotada por dos actores de amenazas diferentes, rastreados como GOFFEE (también conocido como Paper Werewolf), Bitter (también conocido como APT-C-08 o Manlinghua) y Gamaredon.
En un análisis publicado en agosto de 2025, el proveedor ruso de ciberseguridad dijo hay indicios de que GOFFEE podría haber explotado el CVE-2025-6218 junto con el CVE-2025-8088 (puntuación CVSS: 8,8), otro defecto de WinRAR, en ataques dirigidos a organizaciones del país en julio de 2025 a través de correos electrónicos de suplantación de identidad.
Desde entonces se ha descubierto que la región centrada en el sur de Asia APT amargo también tiene armado la vulnerabilidad para facilitar la persistencia en el host comprometido y, en última instancia, eliminar un troyano de C# mediante un descargador ligero. El ataque aprovecha un archivo RAR («Suministro de información para Sectorial for AJK.rar «) que contiene un documento de Word benigno y una plantilla de macros malintencionada.
«El archivo malicioso coloca un archivo llamado Normal.dotm en la ruta global de plantillas de Microsoft Word», Foresiet dijo el mes pasado. «Normal.dotm es una plantilla global que se carga cada vez que se abre Word. Al reemplazar el archivo legítimo, el atacante se asegura de que su código macro malintencionado se ejecute automáticamente, lo que crea una puerta trasera persistente que evita el bloqueo estándar de macros de correo electrónico para los documentos recibidos después del ataque inicial».
El troyano C# está diseñado para contactar con un servidor externo («johnfashionaccess [.] com») para el comando y el control (C2) y permitir el registro de teclas, la captura de capturas de pantalla, la recopilación de credenciales del protocolo de escritorio remoto (RDP) y la exfiltración de archivos. Se ha determinado que los archivos RAR se propagan mediante ataques de suplantación de identidad.
Por último, pero no por ello menos importante, el CVE-2025-6218 también ha sido explotado por un grupo de hackers ruso conocido como Gamaredón en campañas de phishing atacar a entidades militares, gubernamentales, políticas y administrativas de Ucrania para infectarlas con un malware denominado Pteranodon . La actividad se observó por primera vez en noviembre de 2025.
«No se trata de una campaña oportunista», dice un investigador de seguridad con el nombre de Robin dijo . «Es una operación de espionaje y sabotaje estructurada y de orientación militar consistente con la inteligencia estatal rusa y probablemente coordinada por ella».
Vale la pena señalar que el adversario también ha abusado ampliamente del CVE-2025-8088 y lo ha utilizado para entregar malware malicioso de Visual Basic Script e incluso desplegando un nuevo limpiaparabrisas con el nombre en código GamaWiper.
«Este es el primer caso observado en el que Gamaredon lleva a cabo operaciones destructivas en lugar de sus actividades de espionaje tradicionales», dijo ClearSky dijo en una publicación del 30 de noviembre de 2025 en X.
A la luz de la explotación activa, las agencias del Poder Ejecutivo Civil Federal (FCEB) deben aplicar las correcciones necesarias antes del 30 de diciembre de 2025 para proteger sus redes.