Des hackers rusos explotan una vulnerabilidad en WinRAR
Cambios en los métodos de exfiltración
El grupo de hackers Gamaredon ha cambiado sus tácticas recientemente, dejando de lado el uso de Telegram como medio para exfiltrar datos. Históricamente, este grupo utilizaba bots y canales en Telegram para recuperar información robada. Sin embargo, desde febrero de 2023, debido a restricciones impuestas por Rusia al tráfico de esta plataforma, Gamaredon ha migrado a servidores de comando y control dedicados, lo que les permite operar con mayor eficacia y discretamente.
La vulnerabilidad CVE-2025-8088
Un punto crítico en la seguridad de WinRAR es la vulnerabilidad conocida como CVE-2025-8088. Este problema fue constatado incluso antes de que se publicara un parche en julio de 2025, y al menos tres grupos diferentes de hackers han explotado esta falla. Además, se ha reportado que actores relacionados con operaciones chinas también han utilizado esta vulnerabilidad para atacar agencias gubernamentales en Asia del Sudeste.
Entre las lecciones aprendidas, es importante notar que entre la disponibilidad de un parche y su implementación efectiva suelen pasar varios meses. WinRAR no automatiza este proceso en entornos profesionales, lo que incrementa el riesgo de ser atacado.
Estrategias de ataque de GIFTEDCROOK
Otro grupo notable es GIFTEDCROOK, que se centra en obtener cookies de sesión en sus ataques. Mediante el acceso a estas cookies, los hackers pueden ingresar a portales internos y correos electrónicos sin necesidad de contraseñas adicionales. Esto facilita la intrusión en otras máquinas dentro de la red, evitando así disparar alertas de autenticación y permitiéndoles moverse libremente.
Implicaciones para administradores de sistemas
Para los administradores de sistemas y responsables de la seguridad informática que aún no pueden desplegar la actualización de seguridad de inmediato, hay medidas que se pueden tomar. Una opción eficaz es bloquear los flujos de NTFS Alternate Data Streams (ADS) en el nivel de la puerta de enlace de correo electrónico. Esto puede mitigar el riesgo de explotación mientras se trabaja en la implementación del parche.
Conclusiones
La combinación de cambios en las tácticas de los grupos de hackers rusos, junto con vulnerabilidades críticas en software ampliamente utilizado como WinRAR, subraya la importancia de mantener actualizadas las medidas de seguridad en las organizaciones. Los administradores deben estar al tanto de estas amenazas emergentes y actuar proactivamente para proteger sus redes contra ataques potenciales. Mantener un enfoque de seguridad integral y actualizado es crucial para salvaguardar la información sensible de las organizaciones en un entorno digital cada vez más riesgoso.
About the Author
