Vulnerabilidades en n8n, ataques estatales vía WinRAR y espionaje de Mustang Panda con COOLCLIENT
29 de January de 2026Alerta Global: Google advierte sobre la explotación masiva de una vulnerabilidad crítica en WinRAR por grupos estatales
El Grupo de Análisis de Amenazas de Google (TAG) ha emitido una advertencia urgente tras detectar que múltiples actores de amenazas, incluidos grupos respaldados por gobiernos de Rusia y China, están explotando activamente una vulnerabilidad crítica en el software de compresión WinRAR.
El fallo, identificado como CVE-2025-8088, está siendo utilizado para infiltrar sistemas, robar credenciales bancarias y desplegar diversos tipos de malware en infraestructuras gubernamentales y comerciales de todo el mundo.
El retorno del "N-Day": Una brecha persistente
A pesar de que el fallo fue descubierto y parchado originalmente en julio de 2025, Google señala que el método de explotación sigue siendo sumamente efectivo. La vulnerabilidad es de tipo "path traversal" (salto de directorio), lo que permite a los atacantes depositar archivos maliciosos directamente en la carpeta de Inicio de Windows simplemente con que el usuario abra un archivo comprimido modificado.
Una vez que el archivo se deposita en dicha carpeta, el código malicioso se ejecuta de forma automática cada vez que el usuario reinicia su computadora o inicia sesión, garantizando la persistencia del atacante en el sistema.
Actores involucrados: Espionaje y Cibercrimen
El informe de Google destaca una preocupante coalición de intereses en torno a este fallo:
Grupos vinculados a Rusia: Grupos de élite como Sandworm (APT44) y Turla han sido detectados utilizando señuelos relacionados con la guerra en Ucrania y operaciones con drones para infectar a agencias gubernamentales ucranianas.
Espionaje Chino: Se identificó a un actor basado en China utilizando el fallo para desplegar el troyano de acceso remoto Poison Ivy mediante scripts automatizados.
Motivaciones Financieras: Grupos de cibercrimen en Brasil están utilizando la vulnerabilidad para inyectar extensiones maliciosas en el navegador Chrome, diseñadas específicamente para robar credenciales de acceso a instituciones bancarias brasileñas.
La economía del exploit
Google subrayó que la rápida adopción de esta vulnerabilidad se debe a una próspera economía subterránea. Proveedores de exploits como el conocido "zeroplayer" han comercializado herramientas listas para usar por miles de dólares en foros de la dark web, reduciendo la barrera técnica para que grupos con menos recursos puedan ejecutar ataques sofisticados.
Recomendación de seguridad inmediata
La vulnerabilidad afecta a versiones antiguas de WinRAR. Los expertos de seguridad de Google y ESET instan a todos los usuarios y administradores de TI a:
Actualizar inmediatamente a la versión 7.13 de WinRAR o superior, la cual contiene el parche de seguridad necesario.
Desconfiar de archivos comprimidos (.rar o .zip) provenientes de fuentes no verificadas, incluso si parecen contener documentos legítimos o de interés público.
Este incidente resalta la importancia de la gestión de parches, ya que los atacantes continúan obteniendo éxito explotando vulnerabilidades conocidas ("N-days") meses después de que las correcciones han sido publicadas.