Hackers rusos aprovechan el ataque Zero-Day de 7-Zip para atacar a Ucrania

Se ha descubierto que actores de amenazas rusos explotaban una vulnerabilidad de día cero en 7-Zip y la utilizaban para infiltrarse en entidades gubernamentales ucranianas. La falla, identificada como CVE-2025-0411, permitía a los atacantes eludir la protección Mark-of-the-Web (MoTW) de Windows, lo que les ayudaba a distribuir cargas maliciosas sin ser detectados.

El día cero de 7-Zip y su explotación

La vulnerabilidad, que recibió una puntuación CVSS de 7,0, se descubrió por primera vez en septiembre de 2024 y permaneció sin parches hasta noviembre de 2024, cuando se lanzó la versión 24.09 de 7-Zip. Se originó a partir de una falla en la forma en que 7-Zip manejaba la propagación de MoTW.

MoTW es un mecanismo de seguridad de Windows diseñado para advertir a los usuarios sobre archivos descargados de fuentes no confiables. Sin embargo, 7-Zip no logró extender las protecciones de MoTW a los archivos extraídos de un archivo, lo que permitió a los atacantes empaquetar malware en archivos doblemente archivados. Si una víctima extraía y abría estos archivos, la carga maliciosa podía ejecutarse sin activar ninguna advertencia de seguridad.

La campaña SmokeLoader se dirige a entidades ucranianas

Los investigadores de seguridad de Trend Micro confirmaron que cibercriminales alineados con Rusia explotaron CVE-2025-0411 en una campaña que implementó SmokeLoader, un conocido cargador de malware utilizado para ciberespionaje.

Los atacantes enviaron archivos adjuntos a correos electrónicos con trampas explosivas que contenían archivos maliciosos a agencias gubernamentales y empresas ucranianas. Estos correos electrónicos se originaron desde cuentas ucranianas previamente comprometidas, incluidas las del Servicio Ejecutivo Estatal de Ucrania (SES), una rama del Ministerio de Justicia de Ucrania.

Para que el ataque fuera más engañoso, los piratas informáticos utilizaron un ataque de homoglifos, una técnica que reemplaza ciertos caracteres por alternativas visualmente similares. En este caso, se sustituyó la letra cirílica "Es" para que el archivo interno pareciera un documento de Word (.doc). Esto engañó a los destinatarios para que abrieran el archivo y ejecutaran el exploit sin saberlo.

¿Quién fue el objetivo?

La investigación de Trend Micro identificó varias organizaciones ucranianas que fueron blanco de este ataque, entre ellas:

• SES (Servicio Ejecutivo Estatal de Ucrania)
• PrJSC ZAZ (planta de automóviles de Zaporizhzhia)
• Kyivpastrans (servicio de transporte público de Kiev)
• Kyivvodokanal (servicio de abastecimiento de agua de Kiev)
• SEA (fabricante de productos electrónicos)
• Administración estatal del distrito de Verjovyna
• VUSA (compañía de seguros)
• Farmacia regional de Dnipro
• Ayuntamiento de Zalishchyky

Los investigadores creen que esta lista no es exhaustiva y que muchas más organizaciones podrían haber sido atacadas. Los atacantes se centraron en organismos gubernamentales más pequeños, que suelen tener defensas de ciberseguridad más débiles. Estas entidades comprometidas podrían luego ser utilizadas como trampolines para infiltrarse en redes gubernamentales más grandes.

Medidas defensivas y parches

Las organizaciones que utilicen 7-Zip deberían actualizar de inmediato a la versión 24.09 para corregir CVE-2025-0411. Además, los usuarios deberían tener cuidado al abrir archivos comprimidos de correos electrónicos, especialmente aquellos que provienen de fuentes desconocidas o inesperadas.

Ucrania sigue siendo un objetivo prioritario de los ciberataques rusos, y la explotación de vulnerabilidades de software sigue siendo una táctica clave en la ciberguerra. A medida que los atacantes siguen perfeccionando sus técnicas, la vigilancia y la rápida aplicación de parches son fundamentales para mitigar futuras amenazas.