Investigadores en seguridad informática han destapado una sofisticada operación de ciberataques dirigida contra agencias gubernamentales y cuerpos de seguridad del sudeste asiático. Detrás de estas intrusiones se encuentra un actor malicioso recientemente identificado que ha estado explotando una vulnerabilidad grave en WinRAR, uno de los programas de compresión más utilizados en entornos corporativos y administrativos.
El hallazgo, documentado por la firma de ciberseguridad Check Point, revela una campaña persistente que combina técnicas avanzadas de evasión, herramientas aparentemente legítimas y una infraestructura cuidadosamente diseñada para dificultar la detección. El objetivo no es únicamente acceder a los sistemas comprometidos, sino mantener presencia prolongada dentro de redes sensibles y recolectar información de manera silenciosa.
-El fallo CVE-2025-8088 y cómo permite manipular el sistema desde archivos comprimidos
El núcleo de los ataques reside en la vulnerabilidad catalogada como CVE-2025-8088. Este fallo permite a los atacantes escribir archivos maliciosos en ubicaciones arbitrarias dentro de Windows mediante el abuso de la función Alternate Data Streams, una característica legítima del sistema operativo que en este caso es utilizada con fines ofensivos.
Al manipular archivos comprimidos diseñados específicamente para explotar esta debilidad, los agresores pueden instalar componentes maliciosos sin despertar sospechas inmediatas. Según Check Point, el problema fue utilizado durante meses como una vulnerabilidad de día cero por distintos grupos, lo que permitió a múltiples actores aprovecharse de sistemas vulnerables antes de que existieran soluciones públicas ampliamente desplegadas.
Los investigadores explican en su informe que este tipo de técnicas facilitan la persistencia dentro de los sistemas, especialmente cuando los atacantes colocan malware en carpetas críticas como las de inicio automático. “El uso de mecanismos legítimos del sistema operativo dificulta enormemente la detección temprana por parte de soluciones de seguridad tradicionales”, advierten desde el equipo de análisis de amenazas.
-Herramientas legítimas, cargadores personalizados y una infraestructura diseñada para el sigilo
Una de las características más distintivas de la campaña es la combinación de herramientas legítimas con software desarrollado específicamente para estas operaciones. Entre los componentes identificados destaca un cargador personalizado conocido como Amaranth Loader, encargado de descargar y ejecutar cargas útiles cifradas desde servidores de mando y control.
Estos servidores se encuentran ocultos detrás de infraestructuras que emplean servicios ampliamente utilizados en Internet, lo que complica su bloqueo sin afectar tráfico legítimo. Además, los operadores utilizan técnicas de geovallado que filtran las conexiones entrantes, permitiendo únicamente la interacción con sistemas ubicados en regiones previamente seleccionadas como objetivos.
Esta estrategia reduce la exposición de la operación y dificulta el análisis por parte de investigadores fuera de las zonas atacadas. En palabras del equipo de Check Point, “la segmentación geográfica del tráfico incrementa el sigilo de las campañas y limita significativamente las oportunidades de detección temprana”.
-Nuevas herramientas de control remoto y uso de plataformas populares como canal de comunicación
El análisis también reveló la presencia de una nueva herramienta de acceso remoto diseñada para operar de forma encubierta. Este malware incorpora funcionalidades capaces de capturar pantallas, transferir archivos y ejecutar comandos de forma remota, todo ello mientras aplica técnicas avanzadas para evadir antivirus y soluciones de protección tradicionales.
Uno de los elementos más llamativos es el uso de bots de Telegram como canal de comunicación entre los sistemas comprometidos y los operadores. Al apoyarse en plataformas legítimas y ampliamente utilizadas, los atacantes consiguen camuflar sus actividades dentro de flujos de tráfico aparentemente normales, dificultando su detección por parte de herramientas de monitoreo convencionales.
Expertos en inteligencia de amenazas destacan que esta tendencia refleja un cambio progresivo en las operaciones de ciberespionaje, donde el uso de servicios populares permite reducir la necesidad de infraestructuras propias y minimiza las señales que podrían alertar a los defensores.
-Actualizaciones urgentes y advertencias de la comunidad de seguridad
Ante la gravedad de la situación, especialistas recomiendan actualizar WinRAR a la versión 7.13 o superior de forma inmediata. La vulnerabilidad continúa siendo explotada activamente, según confirman distintos equipos de inteligencia de amenazas, lo que convierte la actualización en una medida crítica para organizaciones y usuarios individuales.
Desde la comunidad de seguridad se insiste en que las campañas observadas no solo demuestran el impacto potencial de una única vulnerabilidad, sino también la evolución de los atacantes hacia operaciones más complejas y sigilosas. “La explotación activa de este fallo subraya la importancia de mantener los sistemas actualizados y adoptar estrategias de defensa en profundidad”, señalan los investigadores.
Aunque parte de la infraestructura maliciosa ya ha sido identificada y bloqueada, los expertos advierten que los operadores podrían adaptar sus tácticas y continuar buscando nuevas formas de comprometer sistemas vulnerables. La campaña sirve como recordatorio de que incluso herramientas ampliamente utilizadas pueden convertirse en vectores de ataque cuando aparecen fallos críticos y no se aplican parches a tiempo.