La técnica de ataque Zombie ZIP pone de relieve hasta qué punto los formatos de archivo aparentemente inofensivos pueden convertirse en un vector eficaz para distribuir malware y evadir controles de seguridad. La investigación, liderada por Chris Aziz de Bombadil Systems, demuestra que una manipulación sutil de los encabezados de archivos ZIP basta para que muchas soluciones antivirus y EDR pasen por alto cargas maliciosas perfectamente funcionales.
Qué es Zombie ZIP y por qué supone un riesgo para archivos ZIP y antivirus
El formato ZIP es uno de los más utilizados para comprimir y empaquetar ficheros, soportado de forma nativa por la mayoría de sistemas operativos, clientes de correo y soluciones de almacenamiento en la nube. Su estructura se basa en encabezados que describen, entre otros campos, el método de compresión y la suma de comprobación CRC. Zombie ZIP explota precisamente la confianza excesiva que muchas herramientas depositan en estos metadatos.
En la práctica, esta técnica permite empaquetar un payload malicioso dentro de un archivo ZIP aparentemente legítimo. A ojos de muchas defensas, el archivo se analiza, se considera “limpio” y se deja pasar a la siguiente fase del flujo, mientras que un cargador específico del atacante es capaz de extraer y ejecutar la carga oculta sin levantar alertas.
Cómo funciona el ataque Zombie ZIP: manipulación de encabezados ZIP
El corazón de Zombie ZIP consiste en declarar en el campo Method del encabezado ZIP el valor 0 (STORED), que según la especificación indica que los datos no están comprimidos. Sin embargo, el contenido real del fichero se codifica usando el algoritmo Deflate, el más habitual en archivos ZIP comprimidos.
Muchas soluciones antivirus y EDR confían en el valor de este campo y tratan los datos como si fueran bytes sin comprimir. En consecuencia, en lugar de un ejecutable o un script legible, se encuentran con un flujo de datos comprimidos que interpretan como ruido aleatorio. Al no poder descomprimirlo correctamente, no aplican sus motores de análisis de forma efectiva y no detectan las firmas ni los patrones de comportamiento del malware.
Por qué fallan WinRAR, 7‑Zip y otras herramientas, y el cargador del atacante no
Cuando un usuario intenta abrir un archivo Zombie ZIP con utilidades estándar como WinRAR, 7‑Zip o la herramienta unzip, es frecuente que aparezcan errores o que se extraigan ficheros dañados. La razón principal es que el valor CRC incluido en el encabezado se calcula como si los datos estuvieran sin comprimir, mientras que en realidad están comprimidos con Deflate, generando una incoherencia interna en la estructura del archivo.
Para un software de compresión convencional, esta discrepancia se interpreta como archivo corrupto o mal formado. Sin embargo, un cargador escrito por el atacante puede ignorar por completo el campo Method y tratar el flujo de datos como Deflate desde el principio. De este modo, la carga maliciosa se descomprime y ejecuta con normalidad, aprovechando que la mayoría de controles de seguridad ya han marcado el archivo como verificado sin incidencias.
Disponibilidad de PoC en GitHub y facilidad de adopción por atacantes
El investigador ha publicado una prueba de concepto (PoC) en GitHub, con ejemplos de archivos Zombie ZIP y documentación técnica suficiente para replicar la técnica. Esto reduce notablemente la barrera de entrada para grupos criminales, que pueden integrar este método en campañas de phishing, downloaders de malware o kits de explotación sin necesidad de un conocimiento profundo del estándar ZIP.
CVE-2026-0866, aviso de CERT/CC y antecedentes históricos
El Coordinated Vulnerability Disclosure Center (CERT/CC) ha emitido un aviso oficial sobre Zombie ZIP, asignando el identificador CVE-2026-0866 a la problemática. Según el análisis del CERT/CC, se trata de una variante de técnicas de evasión conocidas desde hace años, muy similar en espíritu a CVE-2004-0935, descubierta hace más de dos décadas en versiones antiguas de soluciones antivirus de ESET.
El punto clave señalado por CERT/CC es que no se trata de un fallo en el estándar ZIP, sino de una debilidad en la forma en que determinadas soluciones de seguridad confían en la información de los encabezados sin validar de forma exhaustiva la estructura completa del archivo. Algunas herramientas modernas de descompresión ya son capaces de identificar estas inconsistencias y alertar de que se trata de un ZIP anómalo o potencialmente manipulado.
Recomendaciones para fabricantes de seguridad, organizaciones y usuarios
Validación profunda del formato ZIP y detección de anomalías
CERT/CC insta a los desarrolladores de antivirus, EDR y pasarelas de correo a revisar sus rutinas de análisis de archivos comprimidos. Entre las medidas prioritarias se incluyen:
1. Verificar el método de compresión a partir de los datos reales. Los motores de análisis no deberían confiar únicamente en el campo Method, sino comprobar si la estructura binaria coincide con el algoritmo declarado. Cualquier divergencia debe tratarse como indicador de posible evasión.
2. Fortalecer las comprobaciones de integridad del ZIP. La validación cruzada de encabezados, longitudes declaradas y valores CRC permite descubrir patrones anómalos característicos de técnicas de ocultación de payloads y de bypass de escaneos basados en firmas.
3. Activar modos de escaneo más agresivos en puntos críticos. En canales de alto riesgo —como puertas de enlace de correo, proxys web o flujos de descarga— es recomendable forzar la descompresión utilizando diferentes enfoques y comparar resultados, aunque esto suponga un mayor consumo de recursos.
Buenas prácticas para usuarios finales y administradores de TI
Para usuarios y administradores, los archivos ZIP continúan siendo un vector prioritario de distribución de malware, especialmente en adjuntos de correo electrónico y descargas desde sitios poco confiables. Si durante la extracción de un ZIP aparece un mensaje como «unsupported method» o se informa de que el archivo está dañado sin una razón aparente, es prudente considerar ese contenido como sospechoso, eliminarlo y, cuando sea posible, remitirlo al equipo de seguridad para su análisis.
La técnica Zombie ZIP confirma que la simple confianza en el tipo de archivo y sus encabezados puede convertirse en un punto ciego crítico para la infraestructura defensiva. Mantener las soluciones de seguridad actualizadas, aplicar políticas estrictas de tratamiento de adjuntos, implementar filtrado multicapa y revisar las políticas internas de uso de archivos comprimidos —especialmente en el correo electrónico— son pasos esenciales para reducir la superficie de ataque. Seguir de cerca la aparición de nuevas técnicas de evasión, como Zombie ZIP, y adaptar los controles de seguridad de forma proactiva será determinante para mantener un nivel de ciberresiliencia adecuado en los próximos años.
